91绿帽人妻SPA,僵尸三?片电视剧

數(shù)字經(jīng)濟時代，無論是互聯(lián)網(wǎng)商業(yè)創(chuàng)新還是傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型，都在推動API數(shù)量與應(yīng)用范圍的爆發(fā)式增長。從只用于企業(yè)內(nèi)部服務(wù)調(diào)用的1.0時代，到面向服務(wù)架構(gòu)的2.0時代，再到如今成為開放平臺和云原生微服務(wù)的3.0時代，API正在成為數(shù)字世界的基礎(chǔ)設(shè)施，在企業(yè)的業(yè)務(wù)體系中發(fā)揮著越來越重要的作用。福兮禍之所倚，API在給企業(yè)數(shù)字化轉(zhuǎn)型帶來巨大便利的同時，也帶來了新的安全挑戰(zhàn)。由于其開放的特性，API成為了網(wǎng)絡(luò)攻擊的重災區(qū)。Facebook、LinkedIn、Twitter……都因API安全問題遭遇了超大型數(shù)據(jù)泄露事件。如何對API進行安全防護，應(yīng)對越發(fā)猖獗的API攻擊，已經(jīng)成為企業(yè)不得不面對的問題。

OWASP API Security Top 10解讀

API安全的重要性早就得到了網(wǎng)安業(yè)界的高度重視。OWASP在2019年首次提出了API Security Top 10，總結(jié)了API安全面臨的十大風險，為企業(yè)的API安全防護提供了重要參考。隨著API安全形勢的不斷變化、相關(guān)安全實踐的不斷加深，OWASP在2023年發(fā)布了API Security Top 10的內(nèi)容更新。相比2019的舊版本，此次更新進一步強調(diào)了API攻擊場景與WEB攻擊的差異化，突出API授權(quán)管理、資產(chǎn)管理、業(yè)務(wù)風控等問題。通過新舊版本的對比，我們能直觀的看到API安全風險的變化趨勢：

在2023年的API Security Top 10，認證和授權(quán)相關(guān)的風險占了4條，分別是對象級別授權(quán)失效BOLA（API 1）、身份認證失效（API 2）、對象屬性級別授權(quán)失效（API 3）、功能級別授權(quán)失效（API 5）。API漏洞與攻擊相關(guān)的風險占了3條，分別是資源消耗無限制（API 4）、服務(wù)端請求偽造SSRF（API 6）、缺少對自動化威脅的防護（API 8）。API資產(chǎn)管理與安全配置相關(guān)風險占了3條，分別是錯誤的安全配置（API 7）、存量資產(chǎn)管理不當（API 9）、不安全的第三方API（API 10）。明確了API面連的安全風險，API安全防護的要點也就呼之欲出：1.強化API訪問鑒權(quán)，實現(xiàn)最小化授權(quán)將訪問鑒權(quán)的范圍從“人”擴展為“人+機”，基于身份信息實現(xiàn)最小化的API訪問授權(quán)，避免攻擊者利用API授權(quán)漏洞，非法獲取敏感數(shù)據(jù)或者完全掌控賬戶（API 1），偽造和盜用合法身份信息（API 2），越權(quán)訪問信息和資源（API 3），非法獲取API請求（API 5）。2.監(jiān)控API訪問流量，實時發(fā)現(xiàn)并阻斷攻擊實時監(jiān)控API訪問流量，及時發(fā)現(xiàn)異常訪問行為，防范DoS攻擊（API 4）、內(nèi)部服務(wù)枚舉和信息泄露（API 6），自動監(jiān)測并防御惡意軟件、蠕蟲病毒、僵尸網(wǎng)絡(luò)等自動化威脅（API8）。3.統(tǒng)一管理API資產(chǎn)，規(guī)范API安全設(shè)置建立縱覽全局的API資產(chǎn)管理體系（API 9），監(jiān)測API安全狀態(tài)并修補API安全漏洞（API10），通過代理API實現(xiàn)API安全配置的統(tǒng)一管理（API 7），最終建立API的全生命周期管理機制。

芯盾時代零信任安全API網(wǎng)關(guān)

芯盾作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念賦能API安全，基于增強型IAM、零信任網(wǎng)絡(luò)訪問等技術(shù)，打造了零信任安全API網(wǎng)關(guān)（ZAG），為企業(yè)提供API接口的統(tǒng)一代理，幫助企業(yè)實現(xiàn)API的訪問認證、數(shù)據(jù)加密、安全防護、應(yīng)用審計，構(gòu)筑API的全生命周期管理能力。針對后端API的安全需求，安全認證鑒權(quán)、流量控制、自動熔斷等安全策略，大幅提升后端服務(wù)的開發(fā)效率和維護效率。

芯盾時代零信任安全API網(wǎng)關(guān)（ZAG），具備以下優(yōu)勢：1.統(tǒng)一代理API接口，實現(xiàn)API資產(chǎn)規(guī)范管理由API網(wǎng)關(guān)提供API統(tǒng)一入口，對不同系統(tǒng)訪問協(xié)議進行規(guī)范統(tǒng)一，用標準化的協(xié)議實現(xiàn)系統(tǒng)集成，提高安全管理效率，避免因為API配置不當導致的安全問題。網(wǎng)關(guān)提供可視化儀表盤，對API調(diào)用情況進行統(tǒng)計并監(jiān)控，包括調(diào)用量、調(diào)用狀態(tài)、成功率、訪問源等，幫助企業(yè)快速掌握API資產(chǎn)情況，及時發(fā)現(xiàn)不安全的API。2.強化API安全認證鑒權(quán)，實現(xiàn)最小化授權(quán)將訪問鑒權(quán)的范圍從“人”擴展為“人+機”，支持多維度的前端用戶接入訪問認證，提升身份鑒權(quán)的安全性，只有通過認證的用戶、客戶端、程序才能進一步訪問API代理發(fā)布的服務(wù)。基于身份信息和API狀態(tài)，對API訪問進行最小化授權(quán)，保證API中敏感數(shù)據(jù)的精細管控，避免因權(quán)限管理漏洞、過度授權(quán)導致的安全問題。3.精細管控API流量，全鏈路保證API安全網(wǎng)關(guān)采用同步+異步混合流控的方式，通過多種算法，實現(xiàn)精細化的秒級流控，同時提供靈活自定義的流量控制策略，針對異常調(diào)用進行主動熔斷和被動熔斷，保障API服務(wù)的穩(wěn)定性和連續(xù)性。網(wǎng)關(guān)能夠與API安全監(jiān)測平臺聯(lián)動，實時阻斷賬號暴力破解、未授權(quán)訪問等風險行為，全鏈路保障API安全。4.開箱即用，一站式實現(xiàn)API全生命周期管理網(wǎng)關(guān)只需要在管理控制臺中配置，即可快速創(chuàng)建API；提供頁面調(diào)試工具，簡化API開發(fā)；可同時發(fā)布一個API到多個環(huán)境，快速迭代、測試API，幫助企業(yè)實現(xiàn)API設(shè)計、開發(fā)、測試、發(fā)布、運維監(jiān)測、安全管控、下線的一站式全生命周期管理。借助芯盾時代零信任安全API網(wǎng)關(guān)，企業(yè)能夠快速建立API安全多層防護機制，防范API攻擊，保證API的安全利用。零信任安全API網(wǎng)關(guān)與芯盾時代API安全監(jiān)測平臺搭配使用，能夠為企業(yè)建立覆蓋“策略→防護→檢測→響應(yīng)”的API安全防護體系，讓企業(yè)的API更開放、更安全。

往期 · 推薦

350種類型、10W+量級的API，企業(yè)應(yīng)該怎么管？

【喜訊】芯盾時代入選《2022中國網(wǎng)絡(luò)安全十大創(chuàng)新方向》API安全防護典型廠商

【喜訊】芯盾時代入選《API安全產(chǎn)品及服務(wù)購買指南》以零信任破解API安全難題

【喜訊】芯盾時代榮獲中國信通院“零信任最受行業(yè)歡迎廠商”

原文標題：數(shù)字化時代，API網(wǎng)關(guān)為何如此重要？

文章出處：【微信公眾號：芯盾時代】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴