AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
數據安全十大經典案例⑨|面對爆炸性激增的API攻擊,如何見招拆招?
API安全問題
在席卷全球的數字經濟大潮中,API已悄然蛻變為企業數字化轉型的關鍵紐帶,堪稱萬物互聯的“數字鑰匙”。API的數量將迎來前所未有的爆炸性激增。然而,這一繁榮景象背后,API攻擊頻率也在悄然攀升,迫使每一家企業都將API安全納入其全新的工程安全議程。
伴隨某運營商內部架構的演變,從傳統的單一架構逐步過渡至低耦合、高內聚的服務網格架構,業務應用間的數據交互正以前所未有的規模轉向API連接。這一趨勢直接引發了某運營商API數量的指數級激增,使得API安全問題成為了亟待解決的重大挑戰。為了應對這一挑戰,企業急需采取一系列前瞻性的安全措施。
某運營商大數據中心,負責為集團各部門業務單元提供集團級的業務API數據服務。急需構建一套行之有效的API調用運營體系,確保其在傳輸鏈路、身份控制、調用鑒權、行為監測、數據保護、風險回溯和預警處置等各環節具備安全防護能力,防范“未授權調用”、“授權違規調用”、“敏感數據泄露”等核心安全場景的隱患,并實現可視化風險管理。
Part.01
用戶核心訴求:
核心數據開放帶來的安全挑戰:
每一次API調用需要通過合法授權校驗,實現API調用數據的敏感識別和脫敏處理,保護業務數據安全。
面向第三方應用開放API調用:
業務API接口暴露面需收斂,建立統一訪問入口,要求先認證再訪問,攔截非法調用和威脅。
建立API調用的運營體系:
通過構建API訪問鏈路,沉淀數據,構建可視化API風險態勢數據展示面,建立運營商SLA級別監測指標。
國密無感知改造:
業務系統全流量SSL傳輸加密,滿足國密改造合規要求,防止網絡鏈路泄漏風險。
Part.02
零信任API數據安全解決方案
為了滿足以上用戶API安全建設的訴求,安恒信息為該運營商推薦了安恒零信任API代理系統。零信任API代理系統是安恒信息在多年數據安全訪問控制理論和實踐經驗積累的基礎上,集身份準入、API代理、訪問控制、攻擊防護、權限管控、動態脫敏、日志審計、自動化運維等多種功能一體的產品。目前,該產品已在多個行業被廣泛應用,保障著用戶的API重要數據和敏感信息。
在該運營商的API數據安全建設過程中,考慮到高并發量和可靠性要求,采取了零信任控制器、中間件、日志分析平臺和零信任API網關分離式部署方式,且前置負載均衡器支持實現每個組件的高可用部署模式,負載均衡設備對每個組件進行定時健康檢查,若存在服務異常將立即切換至備機,保障業務的可靠性。
除此之外,在可靠性方面,API終端和API網關增加了Bypass機制以及服務健康自檢機制,一旦系統發生故障,立即做適當放行處理,避免造成正常業務中斷,整體的部署模式如下所示。
通過這樣一套基于零信任“從不信任,始終驗證”為核心的API解決方案,解決該運營商大數據局中心對外提供API的安全問題,保障了大數據業務的安全、高效運行,展示出API數據安全解決方案的突出成果:
隱藏數據公共平臺API接口服務:
API代理系統作為統一訪問入口,不僅隱藏了數據公共平臺的API接口服務,還通過收斂業務服務的暴露面,顯著提升了系統的安全性和可管理性。
提供全方位入侵防護能力:
通過訪問日志采集任務定時分析,針對DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等常規攻擊提供識別和防御功能,同時,還會對應用層進行深度防御,發現風險后可以進行上報和阻斷訪問,確保服務的可用性和數據的完整性。
強化基于加密技術的身份鑒權:
構建零信任身份授權機制,工作于業務應用、應用前置和后臺服務之間,通過實施精細化的安全API調用流程,形成了強大的訪問控制策略執行節點,確保只有經過授權的用戶才能訪問敏感數據,實時動態的身份驗證和授權決策來確保數據的安全,保護數據公共平臺的穩定運行和用戶的隱私安全。
構建API調用異常行為畫像:
利用應用令牌指紋、請求時間、調用頻率等關鍵信息,精準識別并限制異常訪問條件,從而確保API調用行為始終處于可控狀態,畫像技術不僅有助于用戶及時發現潛在的惡意攻擊或誤操作,還能根據歷史數據和實時行為模式,動態調整訪問策略,以應對不斷變化的威脅環境。
提升數據安全保障能力:
對調用字段進行檢測,運用動態脫敏對識別出的敏感字段進行實時脫敏處理,結合數據加密技術對數據進行加密存儲和傳輸,以及對API調用的流量進行管理和控制等多種技術共同提升了數據安全保障能力,有效防范了數據泄露和非法訪問的風險。
建立運營商SLA級別監測指標:
基于匯總分析應用、服務、接口、賬號、終端多維度數據,對系統資產進行全面梳理,以各維度為主體動態監測相關風險信息,利用多維度視圖實現業務資產、數據流動、業務風險和故障化可視化。
在API安全領域,預見并應對挑戰是企業數字化進程中的必修課。
該實踐成果,不僅解決了核心數據開放與第三方接入的棘手安全問題,更通過建立全方位的API調用運營體系和國密無感知改造,實現了安全性與合規性的雙重提升,為我們展示了如何在API攻擊威脅日益嚴峻的當下,通過實施零信任API數據安全解決方案,筑起一道堅不可摧的安全防線。
面對未來,每個身處其中的企業都應借鑒成功案例,將API安全策略融入日常運營的血脈之中,不斷優化升級安全防護機制。通過采用先進的技術和策略,如零信任模型,持續監控、分析API活動,及時識別并阻斷潛在威脅,確保在享受API帶來的便捷與高效的同時,也牢牢守護住數據的每一道大門。最終,讓API真正成為驅動數字化轉型的強大力量,而非潛藏的風險源,共同促進更加安全、健康的數字生態發展。
