- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-02-17来源:三儿月浏览数:111次
API承担着连接服务和传输数据的重任,在通信、政务、金融、交通等诸多领域得到广泛应用。API涉及包含敏感信息、重要数据在内的数据传输和操作、各种业务策略的制定环节等,数据敏感程度不一,API安全管理面临巨大压力。近年来,API更是呈现爆炸式增长。据Akamai说,API通信现在占所有互联网流量的83%以上。
Swagger、SoapUI和Open API Initiative的赞助商SmartBear第三次发布了有关全球API趋势的年度报告。显见,全球大流行和不断发展的API已显著影响团队经验。他们到底如何实现数字化转型?这是API开发人员、架构师、测试人员和产品潜在客户的焦点。
SmartBear报告告诉我们,目前,API的创建在IT服务和咨询、金融服务、计算机硬件和软件这三个领域是处于领先地位的,他们分别占到28%、14%和13%。电信、公用事业、零售、医疗、制造业等也加速API的构建,以其提供建立数据和应用之间的数字桥梁、改善客户体验、加速营运数字化和数字化转型等等。推动API应用快速井喷的因素,我认为主要有三个:低代码、微服务和生态建设。首先,由于代码复杂性是大量公司需要解决的一个障碍,低代码解决方案加速了API创建的友好性。目前。恐怕有超过50%的应用依靠API技术,如果不深入研究API等数字技术,就很难成为一家具有竞争力数据运营商。
SmartBear报告还告诉我们,API的主要动机是在团队、工具和系统之间的内部集成、产品或服务中扩展功能、建立生态、减少成本和时间。API已然成为提高公司利润的一种方法。
其次,软件系统的微服务架构促进了功能开发、整体灵活性和开发速度。微服务成为推动最短期的API增长,远高于其他替代方案。一方面,微服务架构越来越成为后端开发的标准,另一方面,微服务也成为构建未来复杂系统的标准。
再次,生态建设促使数据中心和平台考虑开放的共享API,以其获得更多的开发者和创业公司的追随,从而获得统一环境的生态体系。对于所有开发者来说,公共API和类似的在线目的地都是非凡的资源。
现如今,API保持强劲并以惊人的速度在增长,建立具有凝聚力的数据共享交换的数字景观可能根本不是梦寐以求的事情。
数据中心、数据大集中是大数据发展过程中一个伟大的举措,也为平台建设者、运营者和数据运营者成为商业霸主创造了巨大的优势,并且为各类应用、数据运营、数据共享带来了巨大的收入。
API是平台和数据共享中非常重要的技术通道,是数字化转型的基础,它供开发者、应用程序接入平台并访问平台和数据中心上的数据,数据得以全面的流动并产生价值。但同时也提供了访问公司数据的多种途径,成为诸多安全问题的根源所在。
API允许轻松地机器对机器通信,开发者不用再从无到有自己构建所有功能,可以加快新产品及服务的开发过程。但是,API的安全却成为了一个很多人都不知道的话题。
所有的馈赠都在暗地里标好了价格。API助力的数据流动同样也标好了价格,有价格就会有付出,早晚而已。降低付出的唯一途径就是加强API的数据流转安全的监控和防范,别无二法,更无偷懒的捷径!
2021年5月,Pen Test Partners安全研究员Jan Masters发现,他竟然能够在未经身份验证的情况下,向Peloton的官方API提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。
由于API漏洞或安全管理疏漏导致的数据安全事件近年来越来越多,而且很多事件的影响范围很大,对相关企业和用户造成了严重损害。图一例举了几个比较著名且影响较大的API安全事件。
图一 近年来因API漏洞或安全管理疏漏导致的数据泄密事件频繁
这些事件给部分企业敲响了警钟,已经开始了积部署API安全策略和工具来应对日益严峻的安全形势。遗憾的是,还有更多的组织至今还没意识到增长的API正在成为组织数据安全的重大隐患。
除了图一的典型API安全问题的例子外,Peloton、Equifax、Instagram、Facebook、Amazon、Paypal、Panera、Fiserv、LifeLock以及Kay Jewelers等都发生过涉及API相关的安全问题。
上面列出的问题可能大多涉及的是:在启动Web服务和设置API变得更加容易的同时,API的安全性变得滞后。
事实上,即使开发人员都开始采用新的安全控制(实际上不可能),仍然可能存在老旧的系统。老旧系统中过时的僵尸API依然会带来了巨大的安全风险,
另外,不少原计划只做短期使用却未及时退役的API也将给数据安全带来很大的风险。
没有人可以保护自己并不知道的东西!我们必须清楚地知道自己拥有什么才能保护它,这是头等大事。此外,我们希望API安全防护能提供API可视化的大量信息,而API网关似乎不能很好地解决。华云数创科技有一个客户,过去一直采用AWS API网关来处理API的安全问题,他们尝试了很多方法,但都不如人意。经过与华云数创科技的沟通,他们发现“API接口数据流转监控与风险评估”解决方案是一种易于部署且不会妨碍开发、管理、使用团队的技术。
他们原本计划2022年再将原系统集成到华云数创科技的解决方案中,但是最终还是将计划提前到了2021了。他们告诉我的原因是:他们越来越发现API的攻击面正在面临危险,他们担心恶意行为者也发现了这些攻击面,甚至是很多他们没有看到的并不知道的攻击面,他们没有时间去冒险了。
图二 华云数创(北京)科技有限公司之“API接口数据流转监控与风险评估”系统
该华云数创的解决方案在API网关处侦听流量、获取日志和元数据,并将报告发送到“API接口数据流转监控与风险评估”解决方案的仪表板以进行警报和报告,这使得他们获得了很好的API安全可见性。该系统可自动触发动作,可以发送报告供安全人员手动查看,可以做合规的自查自测,还可以查找潜在的API泄漏,还可以捕获API是否提供了并非必要的信息等等。“API是否提供了并非必要的信息”,这一点是数据共享交换中特别需要注意和牢记的。
图三 API接口安全防护的难点
API成为攻击者眼中的密钥,数据中心如何正面应战?
是时候解决信息孤岛问题了,聊聊SDK和API
通过华云数创科技的工具可以实现“让每一个人都能成为安全团队的成员”的目的。帮助组织实现通过工具、自动化、扫描技术和遥测监视的愿望,确定API的调用方式,并寻找出可能表明恶意滥用的异常行为。从多维度进行态势分析和问题呈现,包括依法治理、数据收集、超范围收集、隐私政策、API梳理、敏感数据流、敏感数据映射等等,确保数据通过API接口共享流转过程中的安全合规!
