欧美男男大尺度GV GAY,韩国一级av大片,狠狠色狠狠色88综合日日91

數字經濟時代，無論是互聯(lián)網商業(yè)創(chuàng)新還是傳統(tǒng)企業(yè)數字化轉型，都在推動API數量與應用范圍的爆發(fā)式增長。從只用于企業(yè)內部服務調用的1.0時代，到面向服務架構的2.0時代，再到如今成為開放平臺和云原生微服務的3.0時代，API正在成為數字世界的基礎設施，在企業(yè)的業(yè)務體系中發(fā)揮著越來越重要的作用。福兮禍之所倚，API在給企業(yè)數字化轉型帶來巨大便利的同時，也帶來了新的安全挑戰(zhàn)。由于其開放的特性，API成為了網絡攻擊的重災區(qū)。Facebook、LinkedIn、Twitter……都因API安全問題遭遇了超大型數據泄露事件。如何對API進行安全防護，應對越發(fā)猖獗的API攻擊，已經成為企業(yè)不得不面對的問題。

OWASP API Security Top 10解讀

API安全的重要性早就得到了網安業(yè)界的高度重視。OWASP在2019年首次提出了API Security Top 10，總結了API安全面臨的十大風險，為企業(yè)的API安全防護提供了重要參考。隨著API安全形勢的不斷變化、相關安全實踐的不斷加深，OWASP在2023年發(fā)布了API Security Top 10的內容更新。相比2019的舊版本，此次更新進一步強調了API攻擊場景與WEB攻擊的差異化，突出API授權管理、資產管理、業(yè)務風控等問題。通過新舊版本的對比，我們能直觀的看到API安全風險的變化趨勢：

在2023年的API Security Top 10，認證和授權相關的風險占了4條，分別是對象級別授權失效BOLA（API 1）、身份認證失效（API 2）、對象屬性級別授權失效（API 3）、功能級別授權失效（API 5）。API漏洞與攻擊相關的風險占了3條，分別是資源消耗無限制（API 4）、服務端請求偽造SSRF（API 6）、缺少對自動化威脅的防護（API 8）。API資產管理與安全配置相關風險占了3條，分別是錯誤的安全配置（API 7）、存量資產管理不當（API 9）、不安全的第三方API（API 10）。明確了API面連的安全風險，API安全防護的要點也就呼之欲出：1.強化API訪問鑒權，實現最小化授權將訪問鑒權的范圍從“人”擴展為“人+機”，基于身份信息實現最小化的API訪問授權，避免攻擊者利用API授權漏洞，非法獲取敏感數據或者完全掌控賬戶（API 1），偽造和盜用合法身份信息（API 2），越權訪問信息和資源（API 3），非法獲取API請求（API 5）。2.監(jiān)控API訪問流量，實時發(fā)現并阻斷攻擊實時監(jiān)控API訪問流量，及時發(fā)現異常訪問行為，防范DoS攻擊（API 4）、內部服務枚舉和信息泄露（API 6），自動監(jiān)測并防御惡意軟件、蠕蟲病毒、僵尸網絡等自動化威脅（API8）。3.統(tǒng)一管理API資產，規(guī)范API安全設置建立縱覽全局的API資產管理體系（API 9），監(jiān)測API安全狀態(tài)并修補API安全漏洞（API10），通過代理API實現API安全配置的統(tǒng)一管理（API 7），最終建立API的全生命周期管理機制。

芯盾時代零信任安全API網關

芯盾作為領先的零信任業(yè)務安全產品方案提供商，以零信任理念賦能API安全，基于增強型IAM、零信任網絡訪問等技術，打造了零信任安全API網關（ZAG），為企業(yè)提供API接口的統(tǒng)一代理，幫助企業(yè)實現API的訪問認證、數據加密、安全防護、應用審計，構筑API的全生命周期管理能力。針對后端API的安全需求，安全認證鑒權、流量控制、自動熔斷等安全策略，大幅提升后端服務的開發(fā)效率和維護效率。

芯盾時代零信任安全API網關（ZAG），具備以下優(yōu)勢：1.統(tǒng)一代理API接口，實現API資產規(guī)范管理由API網關提供API統(tǒng)一入口，對不同系統(tǒng)訪問協(xié)議進行規(guī)范統(tǒng)一，用標準化的協(xié)議實現系統(tǒng)集成，提高安全管理效率，避免因為API配置不當導致的安全問題。網關提供可視化儀表盤，對API調用情況進行統(tǒng)計并監(jiān)控，包括調用量、調用狀態(tài)、成功率、訪問源等，幫助企業(yè)快速掌握API資產情況，及時發(fā)現不安全的API。2.強化API安全認證鑒權，實現最小化授權將訪問鑒權的范圍從“人”擴展為“人+機”，支持多維度的前端用戶接入訪問認證，提升身份鑒權的安全性，只有通過認證的用戶、客戶端、程序才能進一步訪問API代理發(fā)布的服務。基于身份信息和API狀態(tài)，對API訪問進行最小化授權，保證API中敏感數據的精細管控，避免因權限管理漏洞、過度授權導致的安全問題。3.精細管控API流量，全鏈路保證API安全網關采用同步+異步混合流控的方式，通過多種算法，實現精細化的秒級流控，同時提供靈活自定義的流量控制策略，針對異常調用進行主動熔斷和被動熔斷，保障API服務的穩(wěn)定性和連續(xù)性。網關能夠與API安全監(jiān)測平臺聯(lián)動，實時阻斷賬號暴力破解、未授權訪問等風險行為，全鏈路保障API安全。4.開箱即用，一站式實現API全生命周期管理網關只需要在管理控制臺中配置，即可快速創(chuàng)建API；提供頁面調試工具，簡化API開發(fā)；可同時發(fā)布一個API到多個環(huán)境，快速迭代、測試API，幫助企業(yè)實現API設計、開發(fā)、測試、發(fā)布、運維監(jiān)測、安全管控、下線的一站式全生命周期管理。借助芯盾時代零信任安全API網關，企業(yè)能夠快速建立API安全多層防護機制，防范API攻擊，保證API的安全利用。零信任安全API網關與芯盾時代API安全監(jiān)測平臺搭配使用，能夠為企業(yè)建立覆蓋“策略→防護→檢測→響應”的API安全防護體系，讓企業(yè)的API更開放、更安全。

往期 · 推薦

350種類型、10W+量級的API，企業(yè)應該怎么管？

【喜訊】芯盾時代入選《2022中國網絡安全十大創(chuàng)新方向》API安全防護典型廠商

【喜訊】芯盾時代入選《API安全產品及服務購買指南》以零信任破解API安全難題

【喜訊】芯盾時代榮獲中國信通院“零信任最受行業(yè)歡迎廠商”

原文標題：數字化時代，API網關為何如此重要？

文章出處：【微信公眾號：芯盾時代】歡迎添加關注！文章轉載請注明出處。

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴