实现API安全的全生命周期管理

随着企业互联网化进程的不断深入，越来越多的业务被迁移到互联网上，大量的业务交互和对外服务，导致企业大量使用API。因此，API已经成为业务的一个关键组件，企业必须优化和加速API，以提高App应用的性能、可靠性和用户体验。

大多数企业认为API安全是他们希望解决的首要问题。面对互联网上飞速变革的业务形态，企业正在创建开放式API以满足不断变化的需求。然而，开放式API的安全负担更大，因为利用自动化工具通过合法帐户进行API滥用已成为开放式API攻击的主流。注入攻击、DDOS攻击、身份账号安全、敏感数据泄漏、参数篡改等API资产使用运维过程中引入的新风险给安全运维带来了极大挑战。

然而传统API网关只能为客户提供身份认证、权限管控及内容校验等安全功能，这些功能的使用需要具备大量的应用开发工作，同时由于来自自动化工具的请求内容和正常请求并没有差别，这些安全机制几乎无用武之地。基于以上防护需求，本期发布牛品推荐第十七期——瑞数信息：API安全管控平台。

01

标签

API安全，自动化攻击防护，动态安全资产管理

02

用户痛点

API面临的安全威胁

为了方便与其他企业快速对接，大量的企业使用Http/RESTful API，这也使得API的安全问题更为严峻，API面临的主要安全威胁如下：

• API资产管理
• · API接口无法扫描和探测，大量的API资产如何收集？
• · API资产如何实现全生命周期管理？
• 
  
• API安全攻击风险
• · API面临各种安全攻击（业务逻辑层面的安全攻击和WEB应用技术层面的安全攻击），如何有效识别和防护？
• · 如何进行API请求参数的合规性检验？
• 
  
• 敏感数据管控
• · 如何识别API访问中的敏感数据并进行过滤和拦截？
• · 如何对API接口传输中的敏感数据实现控制，如脱敏？
• 
  
• 访问行为管控
• · 如何有效管理API的访问行为，识别异常的访问行为？
• · 从API访问中如何甄别出真正的业务安全风险？

传统API解决方案问题凸显、

传统API安全网关更多是在API请求的身份认证、权限管控、请求内容校验与过滤以及API流量限速等方面进行防护，但是这些防护功能都与应用开发高度相关，应用程序修改后往往也需要修改API安全网关的配置，造成的部署与维护成本都极为高昂；尤其是企业近年来在业务上对API的依赖不断增长，API功能也在不断扩充与加强，传统API安全网关的维护工作量问题愈加凸显，因此，许多企业开始弃用传统API安全网关。

鉴于传统API安全网关部署与维护成本过高，而且无法有效防护新兴的自动化工具威胁的弊端，瑞数信息创新地推出了API安全管控平台，从而解决API面临的各种安全风险与挑战，实现API的资产管理、攻击防护、敏感数据管控和访问行为管控。

03

解决方案

瑞数API安全管控平台（API BotDefender）

瑞数API安全管控平台（API BotDefender）包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块，为API接口提供完整的安全管控方案。

资产管理模块：实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产，对API资产进行梳理、分析和上下线，帮助客户实现API资产的生命周期管理。

攻击防护模块：综合利用智能规则匹配及行为分析的智能威胁检测引擎，持续监控并分析流量行为，有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据，并利用统计模型来确定HTTP请求的异常。一旦确定异常情况，智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。

敏感数据管控模块：对API传输中的敏感数据进行识别，针对敏感数据可以进行脱敏处理或者实时拦截，防止敏感数据泄露。

访问行为管控模块：对API接口的访问行为进行分析，通过多维度建立API访问基线、API威胁建模，发现异常访问行为，避免恶意访问和接口滥用造成的业务损失。

应用场景：

API资产自动发现

API安全管控平台通过对访问流量进行分析，自动发现流量中的API接口，实现API接口自动识别、梳理和分组。

API资产生命周期管理

对发现的API接口进行生命周期管理，基于关键字搜索功能快速分组，并且对分组后的API资产指定责任人，实现API资产的导入和导出、资产上下线。

API攻击防护

识别各种针对API的安全攻击，对安全攻击进行实时防护；对API请求参数进行合规管控，对不符合规范的请求参数实时管控。

API敏感数据管控

对API传输中的敏感数据进行识别，针对敏感数据可以进行模糊化或者实时拦截，防止敏感数据泄露。

API流量监控与保护

监控API的访问行为，针对高频情况等进行防护，防止高频情况等造成的API性能瓶颈。

未知API发现

通过从API网关上获取API注册数据，与API资产进行对比，发现未知API接口，防止未知API访问造成的业务访问压力，导致业务不可用。

非法API调用防护

通过从API网关上获取API认证和鉴权数据，防止未授权的API调用，保障API接口只能被合法用户访问。

API滥用防护

针对API接口，防止其被滥用并用于谋取利益。

API访问行为管控

监控API接口的访问和使用状况，包括成功率、性能等，通过建立多维度访问基线和API威胁建模，监控基线偏离状况，高效识别异常访问行为，避免恶意访问造成的业务损失。

产品优势：

瑞数API安全管控平台（API BotDefender），实现全程式API安全威胁防护，其安全防护从API接入客户端覆盖到API服务器端。

1. API全自动发现

通过全流量数据接入和分析可以快速自动地发现业务潜在的未知API接口，并针对发现的API接口给出准确的综合评分，减少API接口防护的盲点。同时，通过清晰的API列表辅助运维部门实时感知每个API接口的访问情况，并进行管控。

2. 构建API画像

采用全程式安全威胁防护技术可精准构建API画像。通过API画像快速预览各个业务的API情况，包括使用情况、异常情况、访问来源、非法API调用、API数据泄露和API接口滥用等。

3. API全渠道感知

瑞数信息API安全管控平台部署在API应用服务器与负载均衡设备之间，也可以旁路镜像部署，无需对现有业务进行任何改造，系统部署简单。同时提供各种SDK，方便与各类API来源应用进行集成，可以对来源环境和用户行为进行感知。

4. 动态响应防护

瑞数信息API安全管控平台可以根据访问行为分析的结果或指定条件，进行动态响应防护，防护手段包括：直接拦截、限频、延时响应、软拦截、限时黑名单以及与第三方系统联动等多种方式。另外还可以基于信誉库的积累实现多维度的信誉防护，包括IP信誉库、设备指纹信誉库和账号信誉库等，提升黑产通过逆向探测或机器学习分析等攻击手段的难度。

04 用户反馈

与传统的鉴权API网关相比，瑞数API安全管控平台具有API全生命周期的发现和管控措施，能够很好地配合我行进行API业务威胁透视分析和防护，实现多部门和多平台的关联分析，弥补我行在API业务安全防护过程中跨部门之间沟通和信息共享不对称性等问题。

——某金融行业客户

瑞数信息一直以来为我司提供专业高效的安全服务，在日常工作中提供全方位的支持，在网络安全攻防演习中积极配合，快速响应并及时处理各类突发状况，保障了攻防演习的顺利完成。

——某能源行业客户

瑞数API安全管控平台能够帮助我司有效检测威胁攻击，防止敏感数据泄漏，已成为我行应对各种API攻击必不可少的防护手段，在攻防演练和业务合规实践中发挥作用非常突出。

——某运营商行业客户

保障工作期间，瑞数信息在我中心承担了网络安全监测、自动化攻击阻拦等工作，为我院圆满完成各项工作提供了强有力的技术保障，效果显著。

——某医疗行业用户

安全牛评

API可以调用存储、计算和数据库的敏感资源，而数字化和云化转型会导致企业API的大量开放，给企业敏感数据安全带来极大的风险隐患。瑞数API安全管控平台组合了API管控技术与数据防护手段，并从API视角在数据安全治理、防护、监管多个维度增强了数据可视化，API的细粒度管控将成为企业数据安全风险管控的重要抓手。