隨著企業(yè)的數(shù)字化演進�,2C應用成爆發(fā)式增長����,越來越多的API業(yè)務需要被外部應用調用�,黑客的獲利方式從侵入攻擊轉變?yōu)槔肁PI漏洞����。而利用傳統(tǒng)的身份認證、權限管控��、速率限制���、請求內(nèi)容限制等防護攻擊大打折扣�,企業(yè)一定要選擇安全可靠的API網(wǎng)關產(chǎn)品來全方位保護API業(yè)務的安全����。
網(wǎng)絡安全邊界不斷模糊的這個時代,需要通過零信任架構有效保護網(wǎng)絡通信和業(yè)務訪問安全問題���。
零信任的概念�?
零信任安全的本質是訪問控制范式的轉變���,從傳統(tǒng)的以網(wǎng)絡為中心轉變?yōu)橐陨矸轂橹行倪M行訪問控制�。零信任安全架構一般由三大子系統(tǒng)構成:設備和用戶認證代理����、可信接入網(wǎng)關和智能身份平臺����。舉個例子 ����,很早之前我們登陸郵箱可能需要輸入密碼�、隨機數(shù)驗證碼、短信驗證碼及類似將軍令這樣的安全密鑰���。而現(xiàn)在我們登陸郵箱�,如果你事先在手機上安裝了郵箱的App����,掃一下二維碼就可以了。這樣的認證方式簡單��、快捷�����、高效�。
零信任網(wǎng)絡的概念包括用戶信任、設備信任、應用信任��、傳輸信任�����、動態(tài)授權����、網(wǎng)絡代理。
零信任的架構的授權和認證支撐系統(tǒng)稱為控制平面����,架構如下圖:
API安全網(wǎng)關是提供如下核心功能:
1、提供網(wǎng)絡通信的端到端的加密
2���、基于身份�����,設備�����,環(huán)境認證的精準訪問
3��、安全防護和流量清洗
4����、WAF功能
來自客戶端的所有請求都首先通過API網(wǎng)關,然后網(wǎng)關再將請求轉到適當?shù)奈⒎⻊铡?/span>
API安全網(wǎng)關可以解決哪些具體業(yè)務安全場景���?
業(yè)務場景一:防止非法用戶調用API
保障API的調用安全,防止未授權的用戶調用業(yè)務系統(tǒng)的API。
解決效果:啟用API網(wǎng)關針對API分配APPID和密鑰���,以及通過Token驗證機制��,只有授權的用戶�����,才可以調用API����。
業(yè)務場景二:防止薅羊毛���、刷量等惡意行為
解決效果:啟用API網(wǎng)關判斷賬號風險程度����,采取相對應的限制策略����,識別出欺詐賬號,減少了大部分的虛假交易情況�。
解決C端用戶的流量和B端API承接流量的不匹配。
解決效果:通過流量調度平臺��,可以根據(jù)后端API并發(fā)情況,進行動態(tài)流量分配����,不會因為C端的蜂擁現(xiàn)象導致API停止提供服務。
業(yè)務場景四:和大數(shù)據(jù)風控系統(tǒng)結合解決客戶欺詐行為
解決客戶進行貸款審批或者信用卡審批的欺詐行為�����。
解決效果:API網(wǎng)關結合風控系統(tǒng)會根據(jù)客戶手機變更�����,手機位置交易發(fā)起端位置對比�����、線上���、線下地址對比,最近交易記憶策略�,常用收款方策略,手機操作習慣等等����,最終在用戶端體現(xiàn)為各種互動方式���,比如常用的密碼,動態(tài)驗證碼����、指紋、人臉識別等等�����。
業(yè)務場景五:數(shù)據(jù)泄露風險保護
解決傳輸過程中被篡改的風險����,以及竊取的風險。
解決效果:通過TLS協(xié)議��,防止傳輸過程中的獲取問題�����,加解密來解決數(shù)據(jù)的泄露風險�����。
在談論API安全性時�,我們必須了解����,安全性是公司�、組織、機構和政府機構考慮向其API基礎結構投資更多資源以及保護現(xiàn)有工作的頭等大事�。同時,在現(xiàn)有API提供商投資API基礎結構方面���,它也是最不足的領域���。許多公司都在自行構建API作為產(chǎn)品,以部署Web��,移動�,IoT和其他應用程序,但是在此過程中的每一步都需要保護信息的安全性�,而API網(wǎng)關是針對這些應用程序的最受歡迎且最有效的解決方案之一。