云原生技術(shù)已經(jīng)大范圍普及并深入應(yīng)用到了企業(yè)核心系統(tǒng),但技術(shù)架構(gòu)和應(yīng)用模式的變革伴生了新的安全風(fēng)險(xiǎn),云原生安全已成為企業(yè)關(guān)注的焦點(diǎn)。其中API安全是一大突出問(wèn)題。云原生架構(gòu)下API數(shù)量爆發(fā)式增長(zhǎng),分布在云原生基礎(chǔ)架構(gòu)層和微服務(wù)業(yè)務(wù)層;API訪問(wèn)范圍擴(kuò)大,既充當(dāng)外部與應(yīng)用的訪問(wèn)入口,也充當(dāng)應(yīng)用內(nèi)部服務(wù)間的訪問(wèn)入口。數(shù)量的激增和攻擊面的擴(kuò)大都加劇了API安全風(fēng)險(xiǎn)。
在此背景之下,瑞數(shù)信息參與中國(guó)信通院聯(lián)合業(yè)內(nèi)專家共同編寫的《云原生安全能力要求 第1部分:API安全治理》標(biāo)準(zhǔn),旨在為云服務(wù)商及企業(yè)用戶構(gòu)建云原生API安全治理能力提供參考,同時(shí)適用于規(guī)范云原生API安全產(chǎn)品及解決方案能力水平。標(biāo)準(zhǔn)針對(duì)API安全治理能力提出了分級(jí)要求,內(nèi)容包括API安全評(píng)估、權(quán)限控制、安全監(jiān)測(cè)、安全響應(yīng)、審計(jì)與溯源五大部分。
瑞數(shù)API安全管控平臺(tái)
首家完成
中國(guó)信通院組織的云原生API安全能力評(píng)估
瑞數(shù)API安全管控平臺(tái)(API BotDefender),由API感知、發(fā)現(xiàn)、監(jiān)測(cè)和保護(hù)四大模塊組成,能夠?qū)?lái)源環(huán)境和API資產(chǎn)進(jìn)行感知,自動(dòng)發(fā)現(xiàn)流量中的API,并采用機(jī)器學(xué)習(xí)引擎對(duì)異常API請(qǐng)求行為、敏感數(shù)據(jù)進(jìn)行識(shí)別與分析,調(diào)用動(dòng)態(tài)響應(yīng)機(jī)制對(duì)異常API請(qǐng)求進(jìn)行攔阻、限速或脫敏等響應(yīng)動(dòng)作。
能力一:API安全評(píng)估
API資產(chǎn)識(shí)別:能夠基于大數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)API接口,自動(dòng)對(duì)API接口實(shí)現(xiàn)分類、分組,并指派責(zé)任人,實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理。自動(dòng)提取API接口樣式,為API接口提供可視化的詳情展示,幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理;API威脅識(shí)別:內(nèi)置敏感信息檢測(cè)引擎,覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡、密碼等18種敏感數(shù)據(jù)類型,對(duì)敏感信息進(jìn)行自動(dòng)分級(jí),實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼。
能力二:API限權(quán)控制
內(nèi)置靈活的API訪問(wèn)控制策略,可基于API接口、源IP、訪問(wèn)頻率、客戶端指紋、API令牌、UserAgent、HTTP請(qǐng)求特征等上百個(gè)基礎(chǔ)要素和用戶交互行為特征,對(duì)API接口實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制,支持多維度限頻、攔截、延時(shí)等。
能力三:API安全監(jiān)測(cè)
API運(yùn)行狀態(tài)監(jiān)測(cè):持續(xù)監(jiān)控、分析API當(dāng)前運(yùn)行狀況,支持獲取、統(tǒng)計(jì)、展示API接口性能信息、調(diào)用行為等信息,并對(duì)違規(guī)參數(shù)或異常行為進(jìn)行檢測(cè)和告警;異常行為監(jiān)控:基于多維度實(shí)時(shí)監(jiān)控API接口的訪問(wèn)行為,包括訪問(wèn)成功率、耗時(shí)、TPS、并發(fā)數(shù)等。建立API訪問(wèn)基線,及時(shí)發(fā)現(xiàn)偏離基線的異常訪問(wèn)行為,及未知的API和僵尸API;安全攻擊檢測(cè):通過(guò)AI人工智能威脅檢測(cè)引擎,輔以內(nèi)置的API業(yè)務(wù)威脅模型,透視API常見(jiàn)的業(yè)務(wù)威脅,如撞庫(kù)、爬蟲等,精準(zhǔn)、快速地識(shí)別各類攻擊。
能力四:API安全響應(yīng)
API安全防護(hù):通過(guò)AI智能威脅檢測(cè)引擎,并利用機(jī)器學(xué)習(xí)獲得的多種威脅模型來(lái)確定異常攻擊,同時(shí)利用語(yǔ)義分析和流量學(xué)習(xí)技術(shù),精準(zhǔn)、快速地識(shí)別各類攻擊,包括OWASP API Security Top10的安全攻擊檢測(cè)、API安全參數(shù)合規(guī)檢測(cè)、API接口調(diào)用順序檢測(cè)等;敏感數(shù)據(jù)管控:通過(guò)敏感數(shù)據(jù)檢測(cè)模型,對(duì)敏感信息進(jìn)行自動(dòng)分級(jí)及實(shí)時(shí)洞察,并能夠及時(shí)對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)。
能力五:審計(jì)與溯源
通過(guò)對(duì)API訪問(wèn)行為日志的采集與審計(jì),并基于威脅情報(bào)信息輔助,實(shí)現(xiàn)對(duì)賬號(hào)、IP、令牌及API安全事件的審計(jì)與溯源。
