天空卫士API数据安全解决方案

API技术的“前世今生”

API(Application Programming Interface)应用编程接口是伴随着计算机程序设计技术与软件工程发展起来的基础概念，最早的设计以提升系统与应用程序的开放性集成与扩展性能力为主；随着现代面向服务的架构、云计算技术广泛采用与应用开发模式升级，API现在被广泛用于定义与提供集成业务应用与服务，并且具备了内外部数据传输能力。API技术自身的REST架构化风格发展（Representational State Transfer，表述性状态转移）其核心是为了更直观、便捷的获取、操作、传输数据资源。

数字经济时代、企业数字化转型过程中，数据资产的比重与价值得到迅速提升，API成为数据价值开发利用环节最重要的媒介之一，企业的核心业务逻辑与敏感数据开始“API化”，并推动着技术与业务服务模式创新。例如，在金融科技领域，浦发银行于2018年7月推出了业内首个API Bank无界开放银行，通过API架构驱动，塑造全新银行业务模式。

在技术与商业价值等多重驱动下，API应用焕发了前所未有的活力。据Akamai的一项统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次；仅2021年通过Postman平台的API通信遍布全球234个不同国家，较同期增长56%。API已经几乎在全世界被开发和调用。

API数据安全形势与监管合规要求

与此同时，伴随着API商业价值与自身承载业务与数据交互能力的不断跃升，安全形势变得愈发严峻。相对传统安全隔离与纵深防护的体系，利用API“绿色通道”进行商业机密与个人信息数据窃取等网络攻击，攻击路径、成本显著降低，因此针对API的网络攻击迅速受到内外部威胁的“青睐”而成为首选目标。根据Gartner此前的预测:“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年，API安全问题引起的数据泄露风险将翻倍。”来自国内永安在线API安全研究报告，仅2022年第一季度共监测到640余起数据泄露事件，涉及企业200余家，并显示出逐月明显上涨的趋势。

流动型数据保护的合规要求

API承载的数据是最典型的流动型数据或动态数据(Data in Motion)。内外部业务应用与服务通过API提供数据能力，多数应用系统基于 HTTP/HTTPS 协议对外提供服务，数据使用者涵盖了内部用户和外部客户，涉及大量的结构化及非结构数据的交互，数据在应用流转的过程中，极其可能出现敏感数据暴露面扩大、存在保密数据不正当扩散的风险。

近年法律法规监管趋势逐渐以数据或者是明确重点数据保护目录、建设数据安全治理体系建设、推动社会协同治理为中心。《数据安全法》明确数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，要求明确数据的形态、类型；强调数据分类分级以及针对数据差异化保护的要求，要求采取必要措施，保障数据得到有效保护和合法利用。国家与重点行业标准与政策则进一步围绕行业相关的重点数据生命周期安全与分类分级保护提供规范指引，例如《工业和信息化领域数据安全管理办法(征求意见稿)》要求“传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。”中国人民银行发布的《金融数据安全数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界，应使用API防护技术”，要求“对API数据的外发与回传进行审计”，在通过API接口方式向特定平台提供数据的数据应用交换场景中要求使用脱敏等数据安全技术。

API数据安全保护：
产品与关键能力要求

✅ API安全与API数据安全

API自身安全不等于API的数据安全，也不是本文关注的焦点。API安全是一个更全面、复杂的体系，但这种体系更多依然是围绕面向已知网络威胁、攻防对抗的逻辑；安全能力直接依赖于API资源与缺陷管理、访问控制、身份认证、授权等技术控制与安全实践。全球知名Web应用程序安全项目的非盈利基金会(OWASP)发布的十大API安全风险中，与数据泄露、过度暴露有关等风险过去几年一直位居前三。

在当前安全形势下，网络黑产活动猖獗、数据经济利益驱动的网络攻击比例远高于其他目的，每一项API安全问题最终都会直接或间接导致安全屏障失效与数据泄露风险。

✅ API数据安全：产品与技术

API安全建设与SDLC(软件开发生命周期) API设计与实现环节相关，并要建立全生命周期API管理流程与技术机制，这个过程不能忽略对于以数据为中心的安全能力的建设。

通过安全技术识别与防护API安全风险依然很重要，但需要不断引入发展的数据安全技术与能力才能真正提升API的数据安全能力。在技术与产品能力评估方面，有以下关键发现与建议：

✅ 1

采用API资产管理、API网关、API安全治理类产品，可以提升 API生产消费整个业务流程安全，但数据内容安全能力可能不足。API安全关键能力包括API威胁情报（黑产/溯源）、攻击防护、API接口梳理与监控(生命周期管理)、API访问策略管理与控制等。国内API安全厂商针对目前数据安全形势与合规要求，开始提供部分数据安全能力，包括API数据泄露检测、数据动态、脱敏防护等功能，这部分能力目前来看以敏感信息特征与静态规则（关键字与正则表达式）、结构化与半结构化(如JSON/XML)数据为主。然而，一旦脱离业务应用及数据库边界，大量静态结构化数据开始转变为流动中的非结构化数据被消费，API应用更加速了这个过程转换。按照IDC的预测，到2025年，超过 80% 的数据都会是处理难度较大的非结构化数据。

✅ 2

API数据安全不能也不应该脱离企业统一的数据安全治理体系。首先API作为敏感数据资产的一个重要媒介与开发利用通道，API的数据安全不应该作为独立的安全领域独立规划建设，而应该同样纳入到企业整体的数据安全建设体系中，与企业覆盖全IT体系的数据安全能力如网络、邮件、端点、移动与业务应用遵从一致性的数据分类分级安全保护与处置策略以及共享统一的数据安全风险管理视图。

✅ 3

应该结合数据安全建设实践，引入新的数据安全技术与部署模式，灵活支撑API业务数据安全不同的场景。首先，在API网关、管控类技术梳理API资产与风险的基础上，提升应用识别与数据可视能力。Gartner在最新的十大安全项目建设（Gartner 2020-2021 Top Security Projects）中，针对API安全, 建议“引入CASB技术进行云应用发现，识别影子IT，然后可以考虑（结合SWG技术）部署正向/反向代理和API来实施控制。对CASB而言，发现并保护云中的敏感数据至关重要，并且最好采取跟本地一致的敏感数据防护策略。”

其次， API作为一种对于可用性敏感的服务，自身需要平衡可用性与机密性风险。例如高并发核心业务难以接受一刀切式的API网关类产品形态串接的部署方式，而仅旁路引流监控审计的事后模式，又不具备切入业务逻辑及时防范数据安全风险与安全处置。API安全技术在实施部署机制上要弹性适应不同技术路线。

天空卫士API数据安全解决方案

针对API中潜在的数据泄露与窃取风险，以及API滥用情况下的安全管理，天空卫士提供了全套的API数据安全解决方案，助力企业在数字化转型中的API应用，帮助企业能在有效利用API带来的业务便捷性、高效率和灵活性的同时，保障数据的安全使用和传输。

✅ API数据安全外部审计模式

外部审计模式采用用于对API流量的旁路监听方式部署，重点是发现在API中的敏感数据交互情况，而不干预API本身的运行。API模式通常用于可视化分析、外部深度审计、敏感数据流动分析等场景。

在外部审计模式下，通过交换机、分光器等流量镜像设备将需要分析的目标API的流量镜像到天空卫士UCSG-DSG，在DSG中，通过关键词、正则表达式、字典、机器学习、文件指纹、数据库指纹等多种方式对流量进行分析。匹配由UCSS数据安全管理平台下发的数据分类分级识别策略，记录在API中交互的流量中的敏感数据交互情况。并最终输出相应的分析报表，在必要时，对不应当出现的敏感数据或者一些高级别的事件进行及时的报警。防止大规模的数据安全事件的发生。

外部审计模式可以有效的提供一个外置的方式对API中的数据交互进行审计，分析API访问者的敏感数据访问行为，在海量的API交互过程中发现敏感数据的异常访问，为API的安全运营提供有力的数据支撑。外部审计模式最大的优点是不会介入当前的业务运行，缺点是发现安全风险时无法进行及时阻断，而对于阻断我们还需要下面的几种方案。

✅ API数据安全阻断模式

阻断模式主要是采用天空卫士UCSG-ASWG使用反向代理模式串接在API的访问路径上，对API交互过程中发现的敏感数据泄露事件进行实时阻断，防止安全事故的发生。

在阻断模式下，UCSG-ASWG以反向代理工作模式串接在API前端，对API的上下行流量进行分析，和旁路模式一样，可以使用关键词、正则表达式、字典、机器学习、文件指纹、数据库指纹等多种方式对流量进行分析。发现在流动中敏感数据，并根据UCSS下发的数据安全策略，对其中的高危数据传输可以进行实时阻断，有效阻止数据泄密事故的发生。

ASWG除了对传输的数据内容进行分析外，还可以为API提供入口认证和负载均衡功能，可以有效的提高API自身的安全性和可靠性。ASWG也可以通过高可用部署的模式来实现自身的高可用性。

阻断模式最大的优点是可以对泄密事件进行实时阻断，缺点是会介入在API的访问流程中，需要从系统架构、设计等方面考虑系统的高可用性。

✅ API数据安全应用对接模式

应用对接模式主要用于非结构化文档，包括报文、各类对象存储数据的API交互场景。在这些类型的API中，通常有大量的文档型数据进行交换，无论是数据收集或者数据下载，这些数据通常的载体包括Office文档、PDF、图片、CSV或者是其他任何类型的文件交互，典型的操作常见于对象存储的使用场景。

应用对接模式主要使用天空卫士UCWI内容安全审查平台通过API方式与API服务进行对接。当API服务接收文档后或者外发文档前，把文档通过API接口发给UCWI，UCWI通过预先配置的策略，对文件进行以下分析：

文档的威胁分析：包括病毒、木马、恶意链接等外部威胁分析；

文档的格式安全分析：文档自身的实际格式与交换的后缀名是否相符；

文档的内容安全分析：通过预先制定的数据安全策略对文档进行分类分级分析；

分析完成后，UCWI可以将分析后的结果返回给发起端的API服务，API服务可以通过对UCWI返回的信息进行判断文件是否属于安全的交互。

通过应用对接模式，可以使大量本身不具备数据内容安全识别的能力的应用与服务可以具备数据内容安全的分析能力。从而有效的保障在大量的业务数据安全合规要求比如第三方交换、数据采集、跨域传输、跨境传输等场景下的数据安全。

天空卫士API数据安全解决方案相关推荐

天空卫士监控行为显示叉_打破垄断天空卫士发布数据安全解决方案
2016年8月25日,北京天空卫士网络安全技术有限公司在钓鱼台国宾馆成功举办了新产品新技术发布会.此次发布会以"打破技术垄断,共创英雄事业"为主题,完美呈现了在符合信息技术&quo ...
第三届数字四川创新大赛（2022）“天空卫士杯”数据安全赛道决赛暨颁奖典礼成功举行
2022年11月17日,由四川省大数据中心.省委网信办.省发展改革委.经济和信息化厅和省科协联合主办,北京天空卫士网络安全技术有限公司协办的第三届数字四川创新大赛(2022)数据安全赛道决赛暨颁奖典礼 ...
天空卫士：背靠数据行为分析，保卫数据安全
威瑞森的数据泄露报告显示,2013至2015年,数据泄露事件从4.7万起激增到10万起,造成的损失约50亿美元至100亿美元.近几年,IT业界对于网络安全领域的关注不断升温.深化,"大数据& ...
天空卫士客户案例 | 半导体行业数据安全应用篇
冬藏伊始,万物蛰伏, 疾风骤寒,天凉添衣. 项目背景广东某芯片制造商是广东省及粤港澳大湾区12英寸芯片头部生产平台. 客户主营业务包括微处理器.电源管理芯片.模拟芯片.功率分立器件等,满足物联网. ...
Gartner中国在“云安全最佳实践”及“数据安全厂商概览”等报告中对天空卫士的认可
Gartner作为全球最具权威的IT研究与顾问咨询公司,今年发布多项中国市场的数据安全调研报告,这些报告有助于协助客户进行市场分析.技术选择.项目论证.投资决策.天空卫士作为国内数据安全引领者,多次出 ...
天空卫士受邀参加《数据安全治理能力评估方法》团体标准发布会
2021数据安全治理论坛暨<数据安全治理能力评估方法>团体标准发布会5月20日在北京举行.本次论坛由中国互联网协会和中国信息通信研究院(以下简称"中国信通院")联合主办 ...
天空卫士客户案例 | 网易数据安全篇
我们的坚持, 唯愿不辜负这个季节的美好. 今天给大家奉上本季案例的第四篇, 网易公司数据安全实践. 项目背景网易公司(NASDAQ: NTES),1997年由创始人兼CEO丁磊先生在广州创办,200 ...
数据跨境迎新规，天空卫士高密度答疑解惑
7月7日,国家互联网信息办公室公布<数据出境安全评估办法>(以下简称<办法>),自2022年9月1日起施行.国家互联网信息办公室有关负责人表示,出台<办法>,旨在落 ...
开年纳新|天空卫士家族荣誉谱上再添多名新“成员”
2021年是我国网络与数据安全产业具有里程碑意义的一年,对天空卫士来说,也是收获颇丰的一年.成绩.荣誉.奖项.好评是我们给时间最好的答卷.有了2021的积累,2022在开年之初就收获了不错的成绩.1月 ...
天空卫士客户案例 | 上汽集团数据安全篇
逃离炎炎夏日,沉浸纸墨书香.若遗憾于错过了秋天的第一杯奶茶,必不能错过入秋的第一篇案例了.今天给大家奉上本季案例的第二篇,上汽集团某公司数据安全实践. AUTUMN of 2021 项目背景上海汽车 ...

天空卫士API数据安全解决方案

天空卫士API数据安全解决方案相关推荐

最新文章

热门文章