《数据安全法》与API安全加速落地的关系
伴随网络安全法律法规体系不断完善优化,相关配套制度相继出台,网络安全标准体系进一步完善,将持续推动需求侧不断增大安全投入,促进网络安全需求加快释放。例如API安全相关产品和解决方案2021年在国内普遍落地,少不了《数据安全法》的推动。API安全厂商星阑科技为我们分析了《数据安全法》与API安全发展之间的关联。
《数据安全法》落地,API数据风控时不我待
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。按照党中央决策部署,贯彻总体国家安全观的要求,全国人大常委会积极推动数据安全立法工作。
《数据安全法》是继《网络安全法》提出数据的概念后,我国在数据安全立法层面的又一个重大里程碑,是中国数字经济高速发展的压舱石和定海神针。随着《数据安全法》的出台和落地实施,数据要素安全管控和市场化将同步提升,数据资源将会迸发出更大的活力,数字经济将在“十四五”时期更加蓬勃发展。
《数据安全法》建立了分类分级保护制度,并提出了重要数据、核心数据等概念。其中,重要、核心的判断标准主要是:
1)在经济社会发展中的重要程度;
2)一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
《数据安全法》为数据交易制度提供了兼顾安全和发展的原则性规定,有利于在保障安全基础上,促进数据有序流动,激励相关主体参与到数据交易活动中来,充分释放数据红利。
API经济与API生态
随着系统集成和互连变得越来越普遍,应用程序接口(API)在企业数字化转型中扮演了重要角色。它将系统和数据,乃至整个应用背后的复杂生态都紧密连接在了一起,促进了“API经济模式”的形成。然而,业务拓展的开放性需求同数据资源的安全保密需求显然背道而驰,两者的矛盾在API问题上暴露得更加明显。特别在几次重大数据泄露事件发生后,API的安全话题成功引起了人们的关注。
API经济,是指企业通过API建立合作关系而产生的经济活动。这已经不再是一个简单的概念,很多企业已经运用在商业活动之中,通过API粘合更多合作伙伴,扩充企业服务场景,促进企业的转型和升级,甚至重构整个行业的商业价值链。
为提升交付能力,敏捷迭代与DevOps应运而生,软件系统研发流程从流水线作业演化为组件并发生产再集成的形式,随着后端应用组件的解耦以及SOA架构的普及,API逐步成为连接各应用组件的事实标准。
SOA面向服务的架构出现,很多企业开始将跨平台、无状态的API是用来作为系统间创建联系的通道,以消除前期系统建设的信息孤岛,从而降低协同成本,提升利润空间。API开始受到空前的重视,成为各行业中驱动数字化、信息化变革的主要力量。
API经济带来了一种新的商业模式,可以辅助企业以低成本快速响应市场需求,建立企业生态,促使跨产业链的企业能力整合,产生创新出新的经济形式。国内API化程度并不成熟,这也是给我们留下的机会。今后,API开放程度将会成为衡量企业竞争力的核心指标。
API平台(解决方案)厂商、APM厂商,研发效能厂商、云厂商、安全厂商与新一代API网关厂商构成了API基础设施生态。多年前我曾被一个同事推荐在Chrome中安装过一个专门用来调试API的插件,这个插件就是Postman。如今Postman通过API工具及解决方案连接了开发者、小型团队、企业、公共API网络,构建出自己的增长飞轮,于今年Postman完成D轮融资2.25亿美元,领跑API安全生态。
《数据安全法》与API安全
API作为数据传输的通道,从攻防角度来看,攻击者的目标是企业数据,在主机安全/网络安全日趋成熟的情况下,与其穿透层层内网窃取数据本身(数据库),不如攻破数据的传输管道(API)来的方便。随着API的普及,攻击者可以通过API后端应用漏洞、未授权访问、越权漏洞直接攻击API窃取数据。由于API的高速发展以及业务增速和安全的不对位,导致近两年来API安全问题导致的数据泄露事件频发。
Postman在超过28000位API研发人员的调查结果显示,企业对于API集成方案的考虑因素中,安全性位于首位,与性能并重。
API安全是一种用来确保API的设计、开发和维护安全,防止未经授权的访问、篡改或破坏数据的技术。它通过对API通信行为的采集、监控、防御等手段,发现并收敛API生产过程中的风险,拦截针对API的漏洞攻击及数据窃取行为,最终围绕API的设计、开发、测试、运行和下线等阶段构建起API全生命周期的安全管理方案,为万物互联时代的数据交换、大规模分布式架构、云计算、IT数字化改造提供安全保障。此外,随着安全思想不断推陈出新,一些新安全理念(如,零信任)的成果也正在被API安全防护所借鉴。
作为API安全领域创业者,星阑科技认为API安全即为API的全生命周期防护,即围绕API的“设计、开发、运行、下线”等不同阶段建立API全生命周期安全解决方案,解决企业API漏洞入侵、API数据泄露两大问题。
在以API传递应用能力和数字能力为特征的今天,新经济模式日益繁荣,智慧城市、移动互联网、物联网等为代表的IT数字化转型过程中的数据交换、共享场景是API安全的重点保护对象。
目前,国内的API安全市场尚处于相对早期阶段。厂商的解决方案主要围绕TLS、SSL以及访问控制等技术手段进行防护,其安全实践集中在漏洞防护、身份验证、数据加密、访问控制和流量限制等。由于多样化的攻击手段尚在不断演进当中,API安全亟需更加具有富有弹性的防护方案;同时,人工智能技术和机器学习方法通过对行为模式的经验积累,也将帮助企业更精准地识别安全威胁,发现并阻断API通信中的异常流量。
未来,弹性化和智能化将成为API安全防护技术的主流发展方向。
