API技术的“前世今生”

API(Application Programming Interface)应用编程接口是伴随着计算机程序设计技术与软件工程发展起来的基础概念,最早的设计以提升系统与应用程序的开放性集成与扩展性能力为主;随着现代面向服务的架构、云计算技术广泛采用与应用开发模式升级,API现在被广泛用于定义与提供集成业务应用与服务,并且具备了内外部数据传输能力。API技术自身的REST架构化风格发展(Representational State Transfer,表述性状态转移)其核心是为了更直观、便捷的获取、操作、传输数据资源。

数字经济时代、企业数字化转型过程中,数据资产的比重与价值得到迅速提升,API成为数据价值开发利用环节最重要的媒介之一 企业的核心业务逻辑与敏感数据开始“API化”,并推动着技术与业务服务模式创新。例如,在金融科技领域,浦发银行于2018年7月推出了业内首个API Bank无界开放银行,通过API架构驱动,塑造全新银行业务模式。

天空卫士API数据安全解决方案_数据

在技术与商业价值等多重驱动下,API应用焕发了前所未有的活力。据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次;仅2021年通过Postman平台的API通信遍布全球234个不同国家,较同期增长56%。API已经几乎在全世界被开发和调用。

API数据安全形势与监管合规要求

与此同时,伴随着API商业价值与自身承载业务与数据交互能力的不断跃升,安全形势变得愈发严峻。相对传统安全隔离与纵深防护的体系,利用API“绿色通道”进行商业机密与个人信息数据窃取等网络攻击,攻击路径、成本显著降低,因此针对API的网络攻击迅速受到内外部威胁的“青睐”而成为首选目标。 根据Gartner此前的预测:“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年,API安全问题引起的数据泄露风险将翻倍。”来自国内永安在线API安全研究报告,仅2022年第一季度共监测到640余起数据泄露事件,涉及企业200余家,并显示出逐月明显上涨的趋势。

天空卫士API数据安全解决方案_数据防泄露_02

  • 流动型数据保护的合规要求

API承载的数据是最典型的流动型数据或动态数据(Data in Motion)。内外部业务应用与服务通过API提供数据能力,多数应用系统基于 HTTP/HTTPS 协议对外提供服务,数据使用者涵盖了内部用户和外部客户,涉及大量的结构化及非结构数据的交互,数据在应用流转的过程中,极其可能出现敏感数据暴露面扩大、存在保密数据不正当扩散的风险。

近年法律法规监管趋势逐渐以数据或者是明确重点数据保护目录、建设数据安全治理体系建设、推动社会协同治理为中心。《数据安全法》明确数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,要求明确数据的形态、类型;强调数据分类分级以及针对数据差异化保护的要求 ,要求采取必要措施,保障数据得到有效保护和合法利用。国家与重点行业标准与政策则进一步围绕行业相关的重点数据生命周期安全与分类分级保护提供规范指引,例如《工业和信息化领域数据安全管理办法(征求意见稿)》要求“传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。”中国人民银行发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界,应使用API防护技术”,要求“对API数据的外发与回传进行审计”,在通过API接口方式向特定平台提供数据的数据应用交换场景中要求使用脱敏等数据安全技术。

API数据安全保护:
产品与关键能力要求

✅ API安全与API数据安全

API自身安全不等于API的数据安全,也不是本文关注的焦点。API安全是一个更全面、复杂的体系,但这种体系更多依然是围绕面向已知网络威胁、攻防对抗的逻辑;安全能力直接依赖于API资源与缺陷管理、访问控制、身份认证、授权等技术控制与安全实践。全球知名Web应用程序安全项目的非盈利基金会(OWASP)发布的十大API安全风险中,与数据泄露、过度暴露有关等风险过去几年一直位居前三。

天空卫士API数据安全解决方案_敏感数据_03

在当前安全形势下,网络黑产活动猖獗、数据经济利益驱动的网络攻击比例远高于其他目的,每一项API安全问题最终都会直接或间接导致安全屏障失效与数据泄露风险。

✅ API数据安全:产品与技术

API安全建设与SDLC(软件开发生命周期) API设计与实现环节相关,并要建立全生命周期API管理流程与技术机制,这个过程不能忽略对于以数据为中心的安全能力的建设

天空卫士API数据安全解决方案_数据安全_04

通过安全技术识别与防护API安全风险依然很重要,但需要不断引入发展的数据安全技术与能力才能真正提升API的数据安全能力。在技术与产品能力评估方面,有以下关键发现与建议:

✅ 1

采用API资产管理、API网关、API安全治理类产品,可以提升 API生产消费整个业务流程安全,但数据内容安全能力可能不足。API安全关键能力包括API威胁情报(黑产/溯源)、攻击防护、API接口梳理与监控(生命周期管理)、API访问策略管理与控制等。国内API安全厂商针对目前数据安全形势与合规要求,开始提供部分数据安全能力,包括API数据泄露检测、数据动态、脱敏防护等功能,这部分能力目前来看以敏感信息特征与静态规则(关键字与正则表达式)、结构化与半结构化(如JSON/XML)数据为主。然而,一旦脱离业务应用及数据库边界,大量静态结构化数据开始转变为流动中的非结构化数据被消费,API应用更加速了这个过程转换。按照IDC的预测,到2025年,超过 80% 的数据都会是处理难度较大的非结构化数据

✅ 2

API数据安全不能也不应该脱离企业统一的数据安全治理体系。首先API作为敏感数据资产的一个重要媒介与开发利用通道,API的数据安全不应该作为独立的安全领域独立规划建设,而应该同样纳入到企业整体的数据安全建设体系中,与企业覆盖全IT体系的数据安全能力如网络、邮件、端点、移动与业务应用遵从一致性的数据分类分级安全保护与处置策略以及共享统一的数据安全风险管理视图。

✅ 3

应该结合数据安全建设实践,引入新的数据安全技术与部署模式,灵活支撑API业务数据安全不同的场景。首先,在API网关、管控类技术梳理API资产与风险的基础上,提升应用识别与数据可视能力。Gartner在最新的十大安全项目建设(Gartner 2020-2021 Top Security Projects)中,针对API安全, 建议“引入CASB技术进行云应用发现,识别影子IT,然后可以考虑(结合SWG技术)部署正向/反向代理和API来实施控制。对CASB而言,发现并保护云中的敏感数据至关重要,并且最好采取跟本地一致的敏感数据防护策略。”

天空卫士API数据安全解决方案_数据安全_05

其次, API作为一种对于可用性敏感的服务,自身需要平衡可用性与机密性风险。例如高并发核心业务难以接受一刀切式的API网关类产品形态串接的部署方式,而仅旁路引流监控审计的事后模式,又不具备切入业务逻辑及时防范数据安全风险与安全处置。API安全技术在实施部署机制上要弹性适应不同技术路线。

天空卫士API数据安全解决方案

针对API中潜在的数据泄露与窃取风险,以及API滥用情况下的安全管理,天空卫士提供了全套的API数据安全解决方案,助力企业在数字化转型中的API应用,帮助企业能在有效利用API带来的业务便捷性、高效率和灵活性的同时,保障数据的安全使用和传输。

✅ API数据安全外部审计模式

外部审计模式采用用于对API流量的旁路监听方式部署,重点是发现在API中的敏感数据交互情况,而不干预API本身的运行。API模式通常用于可视化分析、外部深度审计、敏感数据流动分析等场景。

天空卫士API数据安全解决方案_敏感数据_06

在外部审计模式下,通过交换机、分光器等流量镜像设备将需要分析的目标API的流量镜像到天空卫士UCSG-DSG,在DSG中,通过关键词、正则表达式、字典、机器学习、文件指纹、数据库指纹等多种方式对流量进行分析。匹配由UCSS数据安全管理平台下发的数据分类分级识别策略,记录在API中交互的流量中的敏感数据交互情况。并最终输出相应的分析报表,在必要时,对不应当出现的敏感数据或者一些高级别的事件进行及时的报警。防止大规模的数据安全事件的发生。

外部审计模式可以有效的提供一个外置的方式对API中的数据交互进行审计,分析API访问者的敏感数据访问行为,在海量的API交互过程中发现敏感数据的异常访问,为API的安全运营提供有力的数据支撑。外部审计模式最大的优点是不会介入当前的业务运行,缺点是发现安全风险时无法进行及时阻断,而对于阻断我们还需要下面的几种方案。

✅ API数据安全阻断模式

阻断模式主要是采用天空卫士UCSG-ASWG使用反向代理模式串接在API的访问路径上,对API交互过程中发现的敏感数据泄露事件进行实时阻断,防止安全事故的发生。

天空卫士API数据安全解决方案_数据_07

在阻断模式下,UCSG-ASWG以反向代理工作模式串接在API前端,对API的上下行流量进行分析,和旁路模式一样,可以使用关键词、正则表达式、字典、机器学习、文件指纹、数据库指纹等多种方式对流量进行分析。发现在流动中敏感数据,并根据UCSS下发的数据安全策略,对其中的高危数据传输可以进行实时阻断,有效阻止数据泄密事故的发生。

ASWG除了对传输的数据内容进行分析外,还可以为API提供入口认证和负载均衡功能,可以有效的提高API自身的安全性和可靠性。ASWG也可以通过高可用部署的模式来实现自身的高可用性。

阻断模式最大的优点是可以对泄密事件进行实时阻断,缺点是会介入在API的访问流程中,需要从系统架构、设计等方面考虑系统的高可用性。

✅ API数据安全应用对接模式

应用对接模式主要用于非结构化文档,包括报文、各类对象存储数据的API交互场景。在这些类型的API中,通常有大量的文档型数据进行交换,无论是数据收集或者数据下载,这些数据通常的载体包括Office文档、PDF、图片、CSV或者是其他任何类型的文件交互,典型的操作常见于对象存储的使用场景。

天空卫士API数据安全解决方案_数据防泄露_08


应用对接模式主要使用天空卫士UCWI内容安全审查平台通过API方式与API服务进行对接。当API服务接收文档后或者外发文档前,把文档通过API接口发给UCWI,UCWI通过预先配置的策略,对文件进行以下分析:

  • 文档的威胁分析:包括病毒、木马、恶意链接等外部威胁分析;
  • 文档的格式安全分析:文档自身的实际格式与交换的后缀名是否相符;
  • 文档的内容安全分析:通过预先制定的数据安全策略对文档进行分类分级分析;

分析完成后,UCWI可以将分析后的结果返回给发起端的API服务,API服务可以通过对UCWI返回的信息进行判断文件是否属于安全的交互。

通过应用对接模式,可以使大量本身不具备数据内容安全识别的能力的应用与服务可以具备数据内容安全的分析能力。从而有效的保障在大量的业务数据安全合规要求比如第三方交换、数据采集、跨域传输、跨境传输等场景下的数据安全。