首頁 > 關于我們 > 安恒動態(tài) > 2024 > 正文

數據安全十大經典案例⑨｜面對爆炸性激增的API攻擊，如何見招拆招？

閱讀量：次 文章來源：安恒信息

API安全問題

在席卷全球的數字經濟大潮中，API已悄然蛻變?yōu)槠髽I(yè)數字化轉型的關鍵紐帶，堪稱萬物互聯(lián)的“數字鑰匙”。API的數量將迎來前所未有的爆炸性激增。然而，這一繁榮景象背后，API攻擊頻率也在悄然攀升，迫使每一家企業(yè)都將API安全納入其全新的工程安全議程。

伴隨某運營商內部架構的演變，從傳統(tǒng)的單一架構逐步過渡至低耦合、高內聚的服務網格架構，業(yè)務應用間的數據交互正以前所未有的規(guī)模轉向API連接。這一趨勢直接引發(fā)了某運營商API數量的指數級激增，使得API安全問題成為了亟待解決的重大挑戰(zhàn)。為了應對這一挑戰(zhàn)，企業(yè)急需采取一系列前瞻性的安全措施。

某運營商大數據中心，負責為集團各部門業(yè)務單元提供集團級的業(yè)務API數據服務。急需構建一套行之有效的API調用運營體系，確保其在傳輸鏈路、身份控制、調用鑒權、行為監(jiān)測、數據保護、風險回溯和預警處置等各環(huán)節(jié)具備安全防護能力，防范“未授權調用”、“授權違規(guī)調用”、“敏感數據泄露”等核心安全場景的隱患，并實現可視化風險管理。

Part.01

用戶核心訴求：

核心數據開放帶來的安全挑戰(zhàn)：

每一次API調用需要通過合法授權校驗，實現API調用數據的敏感識別和脫敏處理，保護業(yè)務數據安全。

面向第三方應用開放API調用：

業(yè)務API接口暴露面需收斂，建立統(tǒng)一訪問入口，要求先認證再訪問，攔截非法調用和威脅。

建立API調用的運營體系：

通過構建API訪問鏈路，沉淀數據，構建可視化API風險態(tài)勢數據展示面，建立運營商SLA級別監(jiān)測指標。

國密無感知改造：

業(yè)務系統(tǒng)全流量SSL傳輸加密，滿足國密改造合規(guī)要求，防止網絡鏈路泄漏風險。

Part.02

零信任API數據安全解決方案

為了滿足以上用戶API安全建設的訴求，安恒信息為該運營商推薦了安恒零信任API代理系統(tǒng)。零信任API代理系統(tǒng)是安恒信息在多年數據安全訪問控制理論和實踐經驗積累的基礎上，集身份準入、API代理、訪問控制、攻擊防護、權限管控、動態(tài)脫敏、日志審計、自動化運維等多種功能一體的產品。目前，該產品已在多個行業(yè)被廣泛應用，保障著用戶的API重要數據和敏感信息。

在該運營商的API數據安全建設過程中，考慮到高并發(fā)量和可靠性要求，采取了零信任控制器、中間件、日志分析平臺和零信任API網關分離式部署方式，且前置負載均衡器支持實現每個組件的高可用部署模式，負載均衡設備對每個組件進行定時健康檢查，若存在服務異常將立即切換至備機，保障業(yè)務的可靠性。

除此之外，在可靠性方面，API終端和API網關增加了Bypass機制以及服務健康自檢機制，一旦系統(tǒng)發(fā)生故障，立即做適當放行處理，避免造成正常業(yè)務中斷，整體的部署模式如下所示。

通過這樣一套基于零信任“從不信任，始終驗證”為核心的API解決方案，解決該運營商大數據局中心對外提供API的安全問題，保障了大數據業(yè)務的安全、高效運行，展示出API數據安全解決方案的突出成果：

隱藏數據公共平臺API接口服務：

API代理系統(tǒng)作為統(tǒng)一訪問入口，不僅隱藏了數據公共平臺的API接口服務，還通過收斂業(yè)務服務的暴露面，顯著提升了系統(tǒng)的安全性和可管理性。

提供全方位入侵防護能力：

通過訪問日志采集任務定時分析，針對DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等常規(guī)攻擊提供識別和防御功能，同時，還會對應用層進行深度防御，發(fā)現風險后可以進行上報和阻斷訪問，確保服務的可用性和數據的完整性。

強化基于加密技術的身份鑒權：

構建零信任身份授權機制，工作于業(yè)務應用、應用前置和后臺服務之間，通過實施精細化的安全API調用流程，形成了強大的訪問控制策略執(zhí)行節(jié)點，確保只有經過授權的用戶才能訪問敏感數據，實時動態(tài)的身份驗證和授權決策來確保數據的安全，保護數據公共平臺的穩(wěn)定運行和用戶的隱私安全。

構建API調用異常行為畫像：

利用應用令牌指紋、請求時間、調用頻率等關鍵信息，精準識別并限制異常訪問條件，從而確保API調用行為始終處于可控狀態(tài)，畫像技術不僅有助于用戶及時發(fā)現潛在的惡意攻擊或誤操作，還能根據歷史數據和實時行為模式，動態(tài)調整訪問策略，以應對不斷變化的威脅環(huán)境。

提升數據安全保障能力：

對調用字段進行檢測，運用動態(tài)脫敏對識別出的敏感字段進行實時脫敏處理，結合數據加密技術對數據進行加密存儲和傳輸，以及對API調用的流量進行管理和控制等多種技術共同提升了數據安全保障能力，有效防范了數據泄露和非法訪問的風險。

建立運營商SLA級別監(jiān)測指標：

基于匯總分析應用、服務、接口、賬號、終端多維度數據，對系統(tǒng)資產進行全面梳理，以各維度為主體動態(tài)監(jiān)測相關風險信息，利用多維度視圖實現業(yè)務資產、數據流動、業(yè)務風險和故障化可視化。

在API安全領域，預見并應對挑戰(zhàn)是企業(yè)數字化進程中的必修課。

該實踐成果，不僅解決了核心數據開放與第三方接入的棘手安全問題，更通過建立全方位的API調用運營體系和國密無感知改造，實現了安全性與合規(guī)性的雙重提升，為我們展示了如何在API攻擊威脅日益嚴峻的當下，通過實施零信任API數據安全解決方案，筑起一道堅不可摧的安全防線。

面對未來，每個身處其中的企業(yè)都應借鑒成功案例，將API安全策略融入日常運營的血脈之中，不斷優(yōu)化升級安全防護機制。通過采用先進的技術和策略，如零信任模型，持續(xù)監(jiān)控、分析API活動，及時識別并阻斷潛在威脅，確保在享受API帶來的便捷與高效的同時，也牢牢守護住數據的每一道大門。最終，讓API真正成為驅動數字化轉型的強大力量，而非潛藏的風險源，共同促進更加安全、健康的數字生態(tài)發(fā)展。

關閉

AI+安全>

數據安全>

數據基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業(yè)互聯(lián)網安全>