API成重大威胁,如何保护企业API安全?
|
I面临的各种安全风险与挑战,实现API的资产管理、攻击防护、敏感数据管控和访问行为管控,为业务创新保驾护航。 API安全的常见解决方案 许多企业都会参照OWASP十大项目做安全防护,但2019年OWASP发布的API安全十大项目发布的时间较短,许多企业还没能及时作出相应防护。由于API安全涉及的范围比较广,一些常见的安全问题并没有被列入其中,即使是对应API安全十大项目作出防护仍会有一些不足。 API安全市场也处于相对早期阶段,从目前的API安全市场来看,主要有两类API安全解决方案: 第一种,API安全网关方案。 API技术的兴起伴随着技术架构上的变化,由于Http协议的问题造成了很大安全隐患。为了保障安全,需要开发者在开发阶段针对API加入鉴权、认证以及防篡改方面的安全工作。同时,需要API网关之类的安全防护产品作出相应配置。 2015年前后,市场上出现了以独立的API网关为主的API安全解决方案,但在实际应用中发现,这种方案落地困难且成本较高,企业更倾向于使用应用开发者自建的API网关,专业的基于API网关的API安全方案没有获得预想的成功,于是API网关的产品形态还在继续演进。 在Gartner最新的WAF魔力象限中,提到了Web应用程序和API防护服务相结合的最新趋势——WAAP,这是一种集合了DDoS、Bot缓解,API防护和WAF的安全防护平台。Gartner有意将WAF与API防护能力结合起来,使得许多WAF厂商开始在WAF里集成API网关。 作为安全产品形态上的一种自然而然的演化,它的主要问题在于缺少数据分析和管理的能力。 第二种,基于数据分析的API安全方案。 通过AI技术对API的访问行为进行分析,发现API的各种异常访问行为,提供API的管理。与API安全网关方案相比,此方案缺少的是安全威胁防控能力。 瑞数信息的应对之道——瑞数API安全管控平台(API BotDefender)
瑞数信息于2019年就推出具有API感知、发现、监控、保护能力的API安全解决方案,今年更将此能力聚焦于API安全管控的4大核心功能,形成——瑞数API安全管控平台(API BotDefender),该平台包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。作为国内最早推出API安全管控解决方案之一的厂商,它充分体现了瑞数信息对于市场的观察和理解: (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
