现今,国家正全面推进各行业数字化转型进程,“十四五”规划和2035年远景目标纲要明确提出“加快数字化发展”“建设数字中国”要求。近年来,随着数字化时代的来临,加之疫情的催生,已有越来越多的企业投入到数字化转型的进程中来。电商API接口获取商品详情数据。
据《2021年API经济状况》及GoogleCloud的研究报告统计,近两年,数字化转型已成为企业的第一要务,加之2020年新冠疫情对企业带来的连锁效应,近3/4的企业持续投入数字化转型。
在转型过程中,众多企业将业务重心逐步转向云环境,为了更好的利用可重复利用的模块化软件,通过API打破数据孤岛,以此作为连接服务和传输数据的重要通道。根据谷歌发布的2021年API经济调查报告中,其生态体系下2020年API调用次数已达2.21万亿次。
API是什么?
API是应用编程接口的缩写,开发者通过定义一组函数、协议、数据结构,明确应用程序中各个组件之间通信与数据交互方式。
API分类
根据传输协议的不同,现在常见的包括REST、SOAP协议,REST是构建通过网络通信的应用程序的首选标准,主要是因为SOAP仅代表简单对象访问协议,而REST代表具象状态传输,简单来讲SOAP只适用于XML格式,而REST适用于纯文本、XML、HTML和JSON。
API接口已成为
数据安全风险的主要途径之一
随着企业“互联网化、数字化”进程的不断深入,越来越多的业务被迁移到互联网上,大量的业务交互和对外服务需求,导致企业大量使用API。据统计,近年来,随着企业业务系统的微服务化,API的数量成指数级的增长,在带来巨大便利的同时,随着数量快速增长,使用更频繁,也导致攻击面不断扩大。
与之而来的各类攻击事件层出不穷,国内外已发生多起由于API被恶意攻击或安全管理疏漏导致的数据泄露事件,同时众多业务系统被爆存在API漏洞。如2021年6月淘宝因API接口问题造成12亿条用户数据遭泄露、2020年新浪微博因终端API被非法调用造成5亿多用户数据泄露、2021年领英泄露7亿用户数据、Experian公司泄露大量用户信用评分数据、Tokopedia9100万用户信息泄漏、Peloton曝API安全漏洞等,以上摘录了近两年来国内外因为API接口造成的数据泄露以及披露的安全漏洞,当然,除了以上事件外,根据Cloudentity就API安全相关问题的调查研究表明,近半数受访企业(44%)表示,曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。通过这些大量的数据显示,API接口安全一旦出现问题,可能导致的不是一两个、几百、几千个人信息的泄露,而是涉及百万、千万、甚至亿级个人信息的数量。
引自《OWASPAPI Security TOP 10》报告
同时,《OWASPAPI Security TOP10》统计了当前API接口面临的包括失效的对象级别授权、失效的用户身份认证、过渡的数据暴露、资源缺乏和速率限制、失效的功能及授权、资源缺乏和速率限制、失效的功能及授权、批量分配、安全配置错误、注入、资产管理不当等诸多安全风险。
国内外API安全技术应用情况
国外市场上已经出现了一些API安全防护的产品,以下举例说明当前防御方向:SaltSecurity提供API保护平台,可防止API攻击,使用机器学习和AI自动、持续地识别和保护API;红帽提供的3scaleAPI管理,能够持续的对API进行管理和防护,它不仅可以管理API、应用和开发者角色的API管理器,也可以执行API管理器策略和流量管理,并支持多身份认证协议的身份提供商中心;Amazon提供的API网关可以解析到期的时间戳令牌,检查客户端身份是否有效,以及使用公钥来确认签名等。
国内市场伴随网络安全法律法规体系不断完善优化,网络安全标准体系进一步完善,近年来,我国也陆续出台多部数据接口有关标准,对数据接口在不同领域的应用、部署、管理、防护等进行了规范。金融行业发布首个API团体标准《商业银行应用程序接口安全管理检测规范》;通信行业针对特定API类型、API应用场景等制定了一系列标准,细化了API相关安全要求与规范:YD/T2807.4-2015《云资源管理技术要求第 4部分:接口》对涉及的接口类型进行了梳理,规定了云资源管理平台及分平台间接口的技术要求;YD/T3217-2017《基于表述性状态转移(REST)技术的业务能力开放应用程序接口(API)视频共享》针对基于REST技术的视频共享能力开放API进行了规范,涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。
伴随着多部API相关标准陆续的发布,国内市场推出多种API安全防护产品应对,主要包括以下三种模式:
API安全网关型
API安全网关产品可根据动态授权机制为API提供细粒度的应用安全防护,可串联部署至应用系统前、后之间,也可与“零信任”体系安全联动。产品具备流量控制、限流控制、熔断机制、请求过滤、服务路由、反向代理、安全通道、负载均衡等基础能力,同时也具备API全生命周期管理及各类攻击防护、敏感数据检测防御等能力。
API安全监测型
API安全流量监测平台主要提供资产识别管理、智能分析能力、已知威胁和未知威胁的实时监测能力,通过流量旁路镜像的方式采集不同基础设施API通信数据;同时针对不同的API通信协议进行数据清洗、协议解析;并以大数据分析平台为安全大脑核心,结合威胁情报、漏洞扫描、攻击特征、UEBA、机器学习、隐私识别、可视化等技术对全域API流量实现业务可视和威胁感知,从而实现全面发现各种潜伏威胁。该类产品以旁路部署,不具备阻断、处置等能力。
API安全综合型
综合型API安全产品包括API智能网关和API安全管控平台两部分,其中API智能网关应具备流量控制、限流控制、熔断机制、请求过滤、服务路由、阻断等基础功能。API安全管控平台应具备基于场景的持续复杂分析预警,同时将分析结果联动至智能网关做处置。通过网关串联,流量旁路镜像至API安全管控平台做持续复杂分析,二者联动实现持续自适应的动态智能决策。
在数字经济时代,API在应用服务中扮演着愈来愈重要的角色,为有效解决《OWASPAPI Security TOP10》提及的诸多API安全风险,观安特推出观御API智能安全网关产品及解决方案以解决企业用户在API安全方面的一系列问题。目前该方案已成熟应用于运营商、金融、政企等多个行业,产品更多详细内容将在下篇文章《面对不断增长的风险, 观御API智能网关守护数字资产安全》重点介绍,敬请期待!