通信服务是整个产业内发生的数字化转型的关键使能因素。电信运营商通过开放其业务API,对其网络和用户资产提供安全、灵活、可执行的接入服务,不仅能够赋能数字化转型,并且能够参与创新的新型价值链的构建。 当下,移动互联网及各垂直行业大量新的应用场景持续涌现,其对运营商以API方式提供的电信服务需求持续增长,包括消息、音视频、位置、数据信息、管道、QoS、终端配置及管理等。
提供开放、可复用能力的需求推动了对外的API开放平台,以及业务中台的构建。通过API提供原子业务能力,并同推广渠道商、业务服务商、软件开发机构及其他业务合作伙伴共同形成一种相互依存的生态体系,可以便捷的实现对整个产业上下游的新型价值链的构建。其中大量使用的API催生了对API创建、接入、管理、运营和安全的需求,并使全生命周期的API管理成为每个平台机构亟需具备的基本能力。由于需要连接系统、设备和其他业务,各平台机构正面临着API数量的激增。在内部、外部、B2B、私人和公共数据共享中使用API,推动了使用全生命周期API管理来治理API的需求。
从运营商平台能力开放的角度,随着API平台、中台体系以及云基础IaaS基础设施被广泛使用以及SaaS、PaaS业务的高速发展,其API通常有以下特性:
访问链路复杂
由于多种IaaS层基础设施的出现,一条数据从数据库流转到用户的浏览器过程中,仅在应用服务内部可能已经经过了几十层的通信和流转。
异构性
新旧业务和新旧架构并存,API体系复杂,需提供异构性的兼容和接入方式。
数量大、迭代快、生命周期长短不一
存在于容器、微服务架构的API,基于业务场景往往只能存活数秒或数分钟,同时云上的DevOps流程,让API的迭代速度越来越快,单个API可能每隔几天就会出现参数或数据的变动,这一点对电信接口安全提出了较大挑战。
在运营商API能力共享的业务场景中,各类元数据、组件能力、应用管理及构建能力通过开放平台上的API进行封装,为开发者及合作伙伴提供各能力的合作接入和基础服务能力,从而于打造面向开发者及能力服务商的开放、合作、共赢的互联网能力生态链。
技术架构方面,通过以以传统基础服务设施和PaaS能力平台作为底层支撑,在服务共享层开放多个API原子能力和元数据提供点,部分API和基础能力再经过聚合网关进行承载,最终向外输出相应的开放能力。
在此场景下,对于API安全能力的建设,需要实现以下关键点:
对传统架构及PaaS平台的API通信,实现异构化采集、统一管理的能力,使得API的运行时防护能力能够同时兼容新老架构和业务;
对外部API的调用构建安全防护能力,防止恶意调用,防止拒绝服务攻击,防止攻击者或非法访问者能够通过外部接口的漏洞利用,攻占接口主机,并对其他系统进行攻击;
对API实现传输鉴权、权限校验只有合法权限的调用方才提供相应的API访问能力,避免越权访问行为;
对调用API时的输入参数进行校验,是否符合该API的入参要求,如校验存在问题时予以告警;
提供API级监控和审计能力,对API的运行情况、业务量进行监控,对于业务量突增或异常现象实现告警;对使用账号和访问日志频率进行审计,对于发现高频业务操作进行告警;
对外部API进行敏感信息的安全控制,对于敏感信息实现分类分级管理和数据控制,防止外部接口非法调用时泄露敏感信息;
在建立运营商API安全管理体系时,星阑科技应用API全生命周期模型,在各个位点植入安全能力,从而全面提升整体API安全水位,即围绕API的“设计、开发、运行、下线”等不同阶段建立API全生命周期安全技术能力,同时建立API安全生产管理制度与流程加以管控。
在运行时安全方面,星阑科技首先实现了对于异构化API基础设施的通信接入能力,通过在传统基础设施区域部署主机流量探针和镜像流量探针,并在容器/微服务应用上部署ingress/七层网关探针,实现采集和安全审计能力的全面覆盖并快速建立API通信拓扑结构和动态台账。
采集后的API通信被汇总至萤火平台端进行统一分析,并提供三大类核心安全能力:
威胁检测能力
通过由安全研究团队长期自主分析积累的API实战漏洞经验,覆盖百余种针对API协议及API基础设施、中间件的漏洞威胁检测能力。
行为检测能力
使用多维度统计、行为链路追踪等数据指标,并学习API历史行为特征,更精准的对数据外发、数据泄露、爬虫、薅羊毛等事件进行告警,并针对API、访问源、访问者身份等不同维度建立基线,追踪历史行为,从多次访问的过程中发现异常访问行为。
数据检测能力
自动化检测API传输中的数据涉敏和使用情况,为数据泄露监测提供体系化视角,同时根据行业内数据安全定级标准进行归类,符合内部审计及监管需求。
星阑科技API安全产品定位于运营商网络、IT和数据等基础设施与内外部应用之间的连接平台,立足安全可靠的API聚合、编排、开放及管理,支持API的可监控、可度量及可运营,支持弹性伸缩和可扩展性,支持传统硬件、虚拟化以及容器化部署,以最优的开发者及行业客户体验为中心,帮助运营商打造全新的电信API生态。
运营商行业云原生API安全合规解决方案架构图
星阑科技API安全管理平台可以解决运营商痛点:
异构API资产统一梳理
API流量探针支持传统IDC及云环境、支持容器、主机、流量镜像等多点数据采集,从而实现一体化API资产梳理。
API拓扑结构可视化
对组织内部的复杂API调用关系绘制拓扑结构,使得业务系统API依赖关系清晰可见,并以数据/威胁角度刻画API链路,直观呈现数据/威胁在API维度的流转模式。
API级的复合威胁检测能力
通过特征、行为的检测模式,解决入侵、服务器失陷、业务薅羊毛等问题,避免安全问题导致业务损失。
满足数据安全规范及合规要求
符合并满足《数据安全法》、《个人信息安全保护法》对履行数据安全保护义务,建立数据安全保护技术手段等相关条款的规定。系统满足主管单位有关基础网络运营及互联网企业落实API安全风险管控考核指标项相关要求。
星阑科技API安全产品帮助运营商拓展产品和服务范围,提升运营效率,加快内外部创新,同时进一步开发新商业模式,促进电信生态发展,帮助运营商在行业数字化发展变革中勇立潮头。
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别与可视化、API高级威胁检测、复杂行为分析、API安全左移等能力,构建API安全生命周期体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、开放式数据平台、运营与响应能力,解决企业API漏洞入侵、行为异常、数据泄露等核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):案例实践 | 某运营商API安全解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论