API接口下数据的防护伞

随着新技术、新应用的蓬勃发展，驱动了安全创新变革，企业数字化进程不断加速，客户需求和Web应用场景愈加广泛，更多门户网站、核心业务、交易平台等日益依赖Web和APP开展。与此同时，越来越多的开放性API业务也正在蓬勃发展，成为企业数字化转型的重要内容。与日俱增的开发者会使用API接口为客户提供各种微服务并通过云原生应用快速部署容器进行快速迭代开发。因此无论是在互联网访问网络资源或者通过物联网进行系统应用的控制都会利用API接口。很多企业已经运用在商业活动之中，通过API粘合更多合作伙伴，扩充企业服务场景，促进企业的转型和升级，甚至重构整个行业的商业价值链，促进了“API经济模式”的形成。

同时伴随网络安全法律法规体系不断完善优化，相关配套制度相继出台，网络安全标准体系进一步完善，将持续推动需求侧不断增大安全投入，促进网络安全需求加快释放。如API安全相关产品和解决方案2021年在国内普遍落地，少不了《数据安全法》的推动。

《数据安全法》明确了相关主体依法依规开展数据活动，建立健全数据安全管理制度，提高数据安全保障能力，加强风险监测和及时处置数据安全事件等义务和责任，通过严格规范数据处理活动，切实加强数据安全保护，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。

随着数字经济的快速发展，全球进入数据爆炸时代，数据在社会发展、民众生活中扮演起了越来越重要的角色。与此同时，持续爆出的数据安全事件一直令各国政府和民众堪忧。最近，有关滴滴出行的报道可谓是甚嚣尘上，据国家网信办7月21日，依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款，处罚主要针对是对数据泄露，包含了道路数据、实时的轨迹数据、用户的隐私数据等等，当然在此之前，20年微博就曾因为API接口被非法调用导致3.5亿敏感数据泄露，印尼电商网站以及某宝等都曾因为API接口遭遇信息泄露等安全事件。根据公开报道，92%的数据泄露来自业务API接口，API安全已是数据泄露头号风险。

那么针对愈来愈多的API接口安全问题，我们应该如何应对呢？我们将API安全问题分为外部威胁和内部脆弱性两个维度，外部威胁则是因为API配置使用不当和API漏洞利用引发的攻击产生的数据安全风险，如API漏洞导致数据被非法获取、网络爬虫通过API爬取大量数据、API请求参数易被非法篡改等等；内部脆弱性则是API资产其自身原因，如未身份认证、未数据脱敏等等。

针对外部威胁，通付盾推出“通付盾机器人防火墙”产品微盾防火墙，能在风险暴露之前，将系统缺陷、漏洞等问题隐藏，将数据泄露的可能扼杀在摇篮里，实现全面快速的应用数据安全防护。产品搭载通付盾动态防护、爬虫防护和决策智能三大引擎，整合站点加固、人机识别、风险过滤、自动化攻击拦截等技术对所有访问的流量进行安全检测、过滤和智能阻断，融入了API安全防护系统，平台包括API资产管理、攻击检测、攻击防护和态势监控四大模块，为API接口提供完整的安全管控方案，实现API资产能识别能管理、能管控、能防护的全生命周期的安全防护。主要包含了以下内容：

漏洞防护

在API资产和数据资产可见的基础之上，对API在设计和开发方面存在的漏洞进行评估。攻击者在漏洞嗅探的同时，能有效阻止漏洞的暴露，防止进行后续的攻击。

爬虫防护

01 风险特征识别

利用风险特征库识别系统感知异常攻击请求，对恶意请求精准拦截，防护业务请求攻击防护安全。

02 行为分析检测

机器人防火墙监听访问请求及设备信息，多维度进行异常检测，对客户的非正常访问或恶意业务操作进行分析监测，将安全防线筑牢，抵御窃取数据的黑手。

03 智能策略拦截

机器人防火墙在传统Web应用安全防护系统的基础上还具备智能策略，搭建多层综合保护机制，通过该智能策略自动化形成黑名单，完成非正常业务的智能拦截，增加数据的安全防护。

04 人机识别反爬

为了进一步提升数据的安全性，机器人防火墙增加了人机识别反爬技术，提供独立验证机制——滑动验证技术，有效进行人机识别，实现自动化反爬防护，避免网络资源消耗和隐私数据的泄露。

针对内部威胁，通付盾推出“零信任API安全管理系统”产品，为构建企业内外部API安全生态，获取API经济价值，支持建设一站式、自动化、高性能、高稳定的API安全管理系统，涵盖 API 接入、管理、安全管控、监控分析的支撑能力，帮助用户高效、低成本、低风险地实现业务聚合、前后端分离、系统集成等功能，支持海量请求的应对能力；加速业务整合，扩大 API 生态系统，共同挖掘新的商业模式和价值。其中包括：

统一鉴权认证

支持第三方数据提供商的服务接口进行整合，并进行标准化转换，供大集中系统各需求方进行调用，对第三方数据接口变化、数据源变化等场景进行隔离，并可通过服务配置快速适配外部接口。

协议转换

即使内部服务使用混合的通信协议，对于外部客户端提供也能提供RESTful API接口。

动态数据脱敏

支持数据传输过程中敏感数据的自动检索和发现，简化用户手动配置敏感数据字段的过程。支持正则表达式和关键字两种敏感数据识别方式，支持模糊化脱敏和加密脱敏两种脱敏算法，可以自定义脱敏规则集对服务响应参数进行批量脱敏配置，同时支持对数据使用方的加解密密钥进行管理。

精准流控

流控维度从调用方、服务、API三方提供不同的流控策略。

服务编排

实现对API组合编排，快速从各类服务上获取数数据，对业务实现快速响应。

以上两个产品相辅相成，共同作用提高API接口安全，实现内外部防御，满足新形势下API接口数据安全防护需求。

（编辑：湘西站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!