随着企业的数字化演进,2C应用成爆发式增长,越来越多的API业务需要被外部应用调用,黑客的获利方式从侵入攻击转变为利用API漏洞。而利用传统的身份认证、权限管控、速率限制、请求内容限制等防护攻击大打折扣,企业一定要选择安全可靠的API网关产品来全方位保护API业务的安全。
网络安全边界不断模糊的这个时代,需要通过零信任架构有效保护网络通信和业务访问安全问题。
零信任的概念?
零信任安全的本质是访问控制范式的转变,从传统的以网络为中心转变为以身份为中心进行访问控制。零信任安全架构一般由三大子系统构成:设备和用户认证代理、可信接入网关和智能身份平台。举个例子 ,很早之前我们登陆邮箱可能需要输入密码、随机数验证码、短信验证码及类似将军令这样的安全密钥。而现在我们登陆邮箱,如果你事先在手机上安装了邮箱的App,扫一下二维码就可以了。这样的认证方式简单、快捷、高效。
零信任网络的概念包括用户信任、设备信任、应用信任、传输信任、动态授权、网络代理。
零信任的架构的授权和认证支撑系统称为控制平面,架构如下图:
API安全网关是提供如下核心功能:
1、提供网络通信的端到端的加密
2、基于身份,设备,环境认证的精准访问
3、安全防护和流量清洗
4、WAF功能
来自客户端的所有请求都首先通过API网关,然后网关再将请求转到适当的微服务。
典型的API网关包括
-
1、安全性(身份验证和潜在的授权)
2、管理访问配额和限制
3、缓存(代理语句和缓存)
4、API的组成和处理
5、路由到“内部” API
6、API运行状况监视(性能监视)
7、版本控制(自动化流程)
API安全网关可以解决哪些具体业务安全场景?
业务场景一:防止非法用户调用API
保障API的调用安全,防止未授权的用户调用业务系统的API。
解决效果:启用API网关针对API分配APPID和密钥,以及通过Token验证机制,只有授权的用户,才可以调用API。
业务场景二:防止薅羊毛、刷量等恶意行为
解决效果:启用API网关判断账号风险程度,采取相对应的限制策略,识别出欺诈账号,减少了大部分的虚假交易情况。
解决C端用户的流量和B端API承接流量的不匹配。
解决效果:通过流量调度平台,可以根据后端API并发情况,进行动态流量分配,不会因为C端的蜂拥现象导致API停止提供服务。
业务场景四:和大数据风控系统结合解决客户欺诈行为
解决客户进行贷款审批或者信用卡审批的欺诈行为。
解决效果:API网关结合风控系统会根据客户手机变更,手机位置交易发起端位置对比、线上、线下地址对比,最近交易记忆策略,常用收款方策略,手机操作习惯等等,最终在用户端体现为各种互动方式,比如常用的密码,动态验证码、指纹、人脸识别等等。
解决传输过程中被篡改的风险,以及窃取的风险。
解决效果:通过TLS协议,防止传输过程中的获取问题,加解密来解决数据的泄露风险。
在谈论API安全性时,我们必须了解,安全性是公司、组织、机构和政府机构考虑向其API基础结构投资更多资源以及保护现有工作的头等大事。同时,在现有API提供商投资API基础结构方面,它也是最不足的领域。许多公司都在自行构建API作为产品,以部署Web,移动,IoT和其他应用程序,但是在此过程中的每一步都需要保护信息的安全性,而API网关是针对这些应用程序的最受欢迎且最有效的解决方案之一。