数字化时代,API网关为何如此重要?
数字经济时代,无论是互联网商业创新还是传统企业数字化转型,都在推动api数量与应用范围的爆发式增长。从只用于企业内部服务调用的1.0时代,到面向服务架构的2.0时代,再到如今成为开放平台和云原生微服务的3.0时代,api正在成为数字世界的基础设施,在企业的业务体系中发挥着越来越重要的作用。福兮祸之所倚,api在给企业数字化转型带来巨大便利的同时,也带来了新的安全挑战。由于其开放的特性,api成为了网络攻击的重灾区。facebook、linkedin、twitter……都因api安全问题遭遇了超大型数据泄露事件。如何对api进行安全防护,应对越发猖獗的api攻击,已经成为企业不得不面对的问题。 owasp api security top 10解读
api安全的重要性早就得到了网安业界的高度重视。owasp在2019年首次提出了api security top 10,总结了api安全面临的十大风险,为企业的api安全防护提供了重要参考。随着api安全形势的不断变化、相关安全实践的不断加深,owasp在2023年发布了api security top 10的内容更新。相比2019的旧版本,此次更新进一步强调了api攻击场景与web攻击的差异化,突出api授权管理、资产管理、业务风控等问题。通过新旧版本的对比,我们能直观的看到api安全风险的变化趋势:在2023年的api security top 10,认证和授权相关的风险占了4条,分别是对象级别授权失效bola(api 1)、身份认证失效(api 2)、对象属性级别授权失效(api 3)、功能级别授权失效(api 5)。api漏洞与攻击相关的风险占了3条,分别是资源消耗无限制(api 4)、服务端请求伪造ssrf(api 6)、缺少对自动化威胁的防护(api 8)。api资产管理与安全配置相关风险占了3条,分别是错误的安全配置(api 7)、存量资产管理不当(api 9)、不安全的第三方api(api 10)。明确了api面连的安全风险,api安全防护的要点也就呼之欲出:1.强化api访问鉴权,实现最小化授权将访问鉴权的范围从“人”扩展为“人+机”,基于身份信息实现最小化的api访问授权,避免攻击者利用api授权漏洞,非法获取敏感数据或者完全掌控账户(api 1),伪造和盗用合法身份信息(api 2),越权访问信息和资源(api 3),非法获取api请求(api 5)。2.监控api访问流量,实时发现并阻断攻击实时监控api访问流量,及时发现异常访问行为,防范dos攻击(api 4)、内部服务枚举和信息泄露(api 6),自动监测并防御恶意软件、蠕虫病毒、僵尸网络等自动化威胁(api8)。3.统一管理api资产,规范api安全设置建立纵览全局的api资产管理体系(api 9),监测api安全状态并修补api安全漏洞(api10),通过代理api实现api安全配置的统一管理(api 7),最终建立api的全生命周期管理机制。 芯盾时代零信任安全api网关
芯盾作为领先的零信任业务安全产品方案提供商,以零信任理念赋能api安全,基于增强型iam、零信任网络访问等技术,打造了零信任安全api网关(zag),为企业提供api接口的统一代理,帮助企业实现api的访问认证、数据加密、安全防护、应用审计,构筑api的全生命周期管理能力。针对后端api的安全需求,安全认证鉴权、流量控制、自动熔断等安全策略,大幅提升后端服务的开发效率和维护效率。芯盾时代零信任安全api网关(zag),具备以下优势:1.统一代理api接口,实现api资产规范管理由api网关提供api统一入口,对不同系统访问协议进行规范统一,用标准化的协议实现系统集成,提高安全管理效率,避免因为api配置不当导致的安全问题。网关提供可视化仪表盘,对api调用情况进行统计并监控,包括调用量、调用状态、成功率、访问源等,帮助企业快速掌握api资产情况,及时发现不安全的api。2.强化api安全认证鉴权,实现最小化授权将访问鉴权的范围从“人”扩展为“人+机”,支持多维度的前端用户接入访问认证,提升身份鉴权的安全性,只有通过认证的用户、客户端、程序才能进一步访问api代理发布的服务。基于身份信息和api状态,对api访问进行最小化授权,保证api中敏感数据的精细管控,避免因权限管理漏洞、过度授权导致的安全问题。3.精细管控api流量,全链路保证api安全网关采用同步+异步混合流控的方式,通过多种算法,实现精细化的秒级流控,同时提供灵活自定义的流量控制策略,针对异常调用进行主动熔断和被动熔断,保障api服务的稳定性和连续性。网关能够与api安全监测平台联动,实时阻断账号暴力破解、未授权访问等风险行为,全链路保障api安全。4.开箱即用,一站式实现api全生命周期管理网关只需要在管理控制台中配置,即可快速创建api;提供页面调试工具,简化api开发;可同时发布一个api到多个环境,快速迭代、测试api,帮助企业实现api设计、开发、测试、发布、运维监测、安全管控、下线的一站式全生命周期管理。借助芯盾时代零信任安全api网关,企业能够快速建立api安全多层防护机制,防范api攻击,保证api的安全利用。零信任安全api网关与芯盾时代api安全监测平台搭配使用,能够为企业建立覆盖“策略→防护→检测→响应”的api安全防护体系,让企业的api更开放、更安全。
往期 · 推荐
350种类型、10w+量级的api,企业应该怎么管?
【喜讯】芯盾时代入选《2022中国网络安全十大创新方向》api安全防护典型厂商
【喜讯】芯盾时代入选《api安全产品及服务购买指南》 以零信任破解api安全难题
【喜讯】芯盾时代荣获中国信通院“零信任最受行业欢迎厂商”
原文标题:数字化时代,api网关为何如此重要?
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
iPhone X 原来使用了这项技术
OLED TV与QLED电视较量 谁略胜一筹
美格智能与宏电股份签署战略合作协议,共创5G+AIoT行业先锋
新能源汽车市场火爆,带动车载充电机(OBC)装机量快速提升
vivo Y70s全面评测,为更多用户带来优质的5G体验
数字化时代,API网关为何如此重要?
土壤养分速测仪原理【莱恩德LD-GT3】
为什么汽车芯片还在缺货?
关于选购同茂柔性振动供料系统用音圈电机问题的解析
10亿元锂电池项目开工
人脸识别助力创新下一代监控技术 安全性却也得不到保证
小米能否撑起1000亿估值?看看雷军的成长历尽千帆
可调光 LED 驱动器出现的闪烁和“微光”解决方案
中国MEMS传感器市场规模
ADM1266电源完整监控和排序解决方案
网红Cat1已商用 多个共享场景落地
弗迪电池研发生产的刀片电池获2020年度“全球新能源汽车创新技术”
仪器租售marconi 2955B/2955A marcon
瑞萨电子推出基于ARM Cortex-A处理器的mbed微处理器开发板
韩圆桌会议:吸引约5亿美金投资
api安全的重要性早就得到了网安业界的高度重视。owasp在2019年首次提出了api security top 10,总结了api安全面临的十大风险,为企业的api安全防护提供了重要参考。随着api安全形势的不断变化、相关安全实践的不断加深,owasp在2023年发布了api security top 10的内容更新。相比2019的旧版本,此次更新进一步强调了api攻击场景与web攻击的差异化,突出api授权管理、资产管理、业务风控等问题。通过新旧版本的对比,我们能直观的看到api安全风险的变化趋势:在2023年的api security top 10,认证和授权相关的风险占了4条,分别是对象级别授权失效bola(api 1)、身份认证失效(api 2)、对象属性级别授权失效(api 3)、功能级别授权失效(api 5)。api漏洞与攻击相关的风险占了3条,分别是资源消耗无限制(api 4)、服务端请求伪造ssrf(api 6)、缺少对自动化威胁的防护(api 8)。api资产管理与安全配置相关风险占了3条,分别是错误的安全配置(api 7)、存量资产管理不当(api 9)、不安全的第三方api(api 10)。明确了api面连的安全风险,api安全防护的要点也就呼之欲出:1.强化api访问鉴权,实现最小化授权将访问鉴权的范围从“人”扩展为“人+机”,基于身份信息实现最小化的api访问授权,避免攻击者利用api授权漏洞,非法获取敏感数据或者完全掌控账户(api 1),伪造和盗用合法身份信息(api 2),越权访问信息和资源(api 3),非法获取api请求(api 5)。2.监控api访问流量,实时发现并阻断攻击实时监控api访问流量,及时发现异常访问行为,防范dos攻击(api 4)、内部服务枚举和信息泄露(api 6),自动监测并防御恶意软件、蠕虫病毒、僵尸网络等自动化威胁(api8)。3.统一管理api资产,规范api安全设置建立纵览全局的api资产管理体系(api 9),监测api安全状态并修补api安全漏洞(api10),通过代理api实现api安全配置的统一管理(api 7),最终建立api的全生命周期管理机制。 芯盾时代零信任安全api网关
芯盾作为领先的零信任业务安全产品方案提供商,以零信任理念赋能api安全,基于增强型iam、零信任网络访问等技术,打造了零信任安全api网关(zag),为企业提供api接口的统一代理,帮助企业实现api的访问认证、数据加密、安全防护、应用审计,构筑api的全生命周期管理能力。针对后端api的安全需求,安全认证鉴权、流量控制、自动熔断等安全策略,大幅提升后端服务的开发效率和维护效率。芯盾时代零信任安全api网关(zag),具备以下优势:1.统一代理api接口,实现api资产规范管理由api网关提供api统一入口,对不同系统访问协议进行规范统一,用标准化的协议实现系统集成,提高安全管理效率,避免因为api配置不当导致的安全问题。网关提供可视化仪表盘,对api调用情况进行统计并监控,包括调用量、调用状态、成功率、访问源等,帮助企业快速掌握api资产情况,及时发现不安全的api。2.强化api安全认证鉴权,实现最小化授权将访问鉴权的范围从“人”扩展为“人+机”,支持多维度的前端用户接入访问认证,提升身份鉴权的安全性,只有通过认证的用户、客户端、程序才能进一步访问api代理发布的服务。基于身份信息和api状态,对api访问进行最小化授权,保证api中敏感数据的精细管控,避免因权限管理漏洞、过度授权导致的安全问题。3.精细管控api流量,全链路保证api安全网关采用同步+异步混合流控的方式,通过多种算法,实现精细化的秒级流控,同时提供灵活自定义的流量控制策略,针对异常调用进行主动熔断和被动熔断,保障api服务的稳定性和连续性。网关能够与api安全监测平台联动,实时阻断账号暴力破解、未授权访问等风险行为,全链路保障api安全。4.开箱即用,一站式实现api全生命周期管理网关只需要在管理控制台中配置,即可快速创建api;提供页面调试工具,简化api开发;可同时发布一个api到多个环境,快速迭代、测试api,帮助企业实现api设计、开发、测试、发布、运维监测、安全管控、下线的一站式全生命周期管理。借助芯盾时代零信任安全api网关,企业能够快速建立api安全多层防护机制,防范api攻击,保证api的安全利用。零信任安全api网关与芯盾时代api安全监测平台搭配使用,能够为企业建立覆盖“策略→防护→检测→响应”的api安全防护体系,让企业的api更开放、更安全。
往期 · 推荐
350种类型、10w+量级的api,企业应该怎么管?
【喜讯】芯盾时代入选《2022中国网络安全十大创新方向》api安全防护典型厂商
【喜讯】芯盾时代入选《api安全产品及服务购买指南》 以零信任破解api安全难题
【喜讯】芯盾时代荣获中国信通院“零信任最受行业欢迎厂商”
原文标题:数字化时代,api网关为何如此重要?
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
iPhone X 原来使用了这项技术
OLED TV与QLED电视较量 谁略胜一筹
美格智能与宏电股份签署战略合作协议,共创5G+AIoT行业先锋
新能源汽车市场火爆,带动车载充电机(OBC)装机量快速提升
vivo Y70s全面评测,为更多用户带来优质的5G体验
数字化时代,API网关为何如此重要?
土壤养分速测仪原理【莱恩德LD-GT3】
为什么汽车芯片还在缺货?
关于选购同茂柔性振动供料系统用音圈电机问题的解析
10亿元锂电池项目开工
人脸识别助力创新下一代监控技术 安全性却也得不到保证
小米能否撑起1000亿估值?看看雷军的成长历尽千帆
可调光 LED 驱动器出现的闪烁和“微光”解决方案
中国MEMS传感器市场规模
ADM1266电源完整监控和排序解决方案
网红Cat1已商用 多个共享场景落地
弗迪电池研发生产的刀片电池获2020年度“全球新能源汽车创新技术”
仪器租售marconi 2955B/2955A marcon
瑞萨电子推出基于ARM Cortex-A处理器的mbed微处理器开发板
韩圆桌会议:吸引约5亿美金投资