●
最新发布的《数世咨询·API安全研究报告·2022》,从API的技术应用能力和商业塑造能力两方面阐述了API作为数字时代基础设施的重要性,并从其面临的风险、自身复杂度和实际应用情况描述了API安全,介绍了国内外最佳实践者和API安全参考框架。
API安全是一个复杂并且较为新颖的安全研究方向,报告是在现有技术资料、用户使用反馈和专家访谈的基础上,结合分析师对市场、行业、技术的理解所进行的,希望通过报告,能够切实解决用户在企业发展过程中出现的关于API安全的问题,帮助企业用户在数字浪潮之中屹立潮头。
报告核心关键
① API逐渐形成了自身的技术和经济生态,在全球范围内被采纳,是公认的数字时代的价值链接基础。
② API已经成为网络应用流量最重要的出入口,通过攻击API来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。
③ 事实不断证明,传统的API网关或WAF的防护方式已无法再满足企业的API安全需求,数字时代需要专注于API的安全解决方案。
④ 数字时代的API安全产品应该以API安全生命周期为线索,在解决协议覆盖、资产梳理以及攻击检测的基础上,通过深度学习的能力,精准描绘出业务逻辑和数据流向。通过对业务流量和数据的学习,整合安全资源,达到攻击预防、攻击阻断以及敏感数据泄漏防护的目的,最终实现API运行时防护的安全状态。
⑤ 企业开展API安全建设,可以优先考虑以收敛、整合、智能、自动为核心的安全框架。
小阑解读
① API是数字安全价值链接实现基础:万物互联时代,我们把一个复杂应用系统比作生命体,数据是血液,API就是承载血液流动的“血管”。从IaaS到PaaS、SaaS,从PC到手机APP再到各种IoT设备,API在数字世界中无处不在。
② API是数据交换的重要信道:API本质是一种无处不在的服务,是以低成本实现数据流通的方式,连接场景与供应商,使数据价值最大化输出,推进跨企业、跨行业甚至跨领域的合作,使得这些信息化孤岛能够有机结合迸发出新的生命力。API作为数据交换的“管道”,以每年60%以上的增速走入大家的视线,给数据安全带来了全新的变革。
③ API安全需求促进全球API市场供给:毋庸置疑,随着企业的数据化进展,微服务改造,不同领域的API层出不穷,API开发数量的增加给边缘系统带来机会,也随即演变了API网关的出现,大规模的API管理系统成为核心的发展趋势。
④ API安全生命周期理念:全生命周期的API管理为治理API提供了必要的框架和工具,使用这些工具进行业务活动,可以在有效开展工作的基础上同时保护企业免受API漏洞的影响。
⑤ API安全建设概念框架:在API风险管控体系建设过程中,企业应首先关注流程与制度的建设,通过一致的管理办法来保证业务API的生命周期安全可控。在技术架构层面,企业应选用API网关或数据总线构建API的统一接入层。之后通过安全分析技术对其流量进行风险研判。
星阑科技可以提供API接口托管、治理和监控服务,涵盖无代码API开发、发布、调用、统计、监控、下线的全生命周期管理,助力客户快速、安全、低成本地将能力、服务、数据以API的形式接入、开放和治理。统一解决API治理生命周期中的认证、授权、鉴权、安全、流量管控、缓存、服务路由、协议转换、服务编排、熔断、灰度发布、监控报警等。
数据生态市场让API安全引发国际关注
2022年我国政府工作报告强调,完善数字经济治理,释放数据要素潜力,更好赋能经济发展。数据已成为等同于技术、资本、土地和劳动力的生产要素,加快推进数据要素市场建设也成为今年全国两会讨论的热门话题。
1. 带动API市场发展的关键因素有以下几点:
智能商业的世界里,数据为王,那些能够产生最高质量数据的服务将获得压倒性的优势。所有的数字世界都将构建在云计算的基础之上,“云原生、端智能”是构建和运行应用程序的架构思想和基本方法,核心是不断释放云计算和大数据的红利,产生更多的业务应用,让更多企业能够实践和发展。企业的“多云计算+多端应用”需求,自然而然走向了跨平台、云原生和数据智能。非跨平台不能解决多云问题,非云原生不能解决应用在平台间弹性可迁移的诉求,而只有数据智能才能真正让数据变成业务价值,让数据资产在企业内外部都具备商业价值和赋能效应。
伴随着云上数字世界进化物理世界,最终改变人们的生存空间,把机械化、重复性事务交给机器,解放人去思考、决策和创新,当数据生态在云上迈过奇点,将促进数据流通共享和多层次市场体系构建。
2. 深化关基设施,深挖数据应用要素
当前,在新一轮科技产业革命与新冠疫情风险交织叠加之际,全球网络安全形势依然严峻,针对关键行业和新技术、新场景的网络安全事件频发,迫使各国持续深化关键基础设施安全举措,强化新技术、新应用安全风险防范。
与此同时,随着数字经济新模式和新业务的蓬勃发展,在制度落地和技术创新等众多因素推动下,我国网络安全将迎来产业新机遇和市场新动能,网络安全产业规模将保持高速增长。而数据安全作为网络安全产业的重要组成部分将迎来发展契机,2022年2月,国家“东数西算工程”全面启动,加快数据产品标准化进程,确保数据可追溯、质量有保障,实现数据全生命周期安全将成为重中之重。
深挖数据应用(API)要素,用数据赋能传统产业转型升级,强化数据安全保护,加快数据安全行业全生态链发展。作为数据传输的重要通道,API日益普及,让企业将资产从数据孤岛中解放出来,保证其在不同环境下均可实现良好的互操作性与可重用性。API的发展给数据安全带来了新的变化,其能够服务于多种用例,从连接内部应用、到建立数字生态系统策略。
3. 国际API安全步入快车道
从市场来看,目前API管理的全球市场已经达到10亿美金,根据Adroit市场报告显示,到2028年API管理市场总规模216.8亿美金,其中API安全占了30%。在估值达到14亿美元后,国外API公司Salt Security也成为了API安全赛道首家独角兽公司。近些年无论是综合型网络安全企业还是专精型数据安全厂商,均在尝试布局API安全赛道。随着应用领域的不断扩展、市场需求的不断扩大以及理论研究的不断深入,API安全赛道也将步入放量增长“快车道”。
现在,国际上一些国家出台了隐私与数据保护法规,比如欧盟GDPR《通用数据保护条例》,这是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。美国CCPA《加州消费者隐私保护法》2018年6月28日美国发布,该法案被称为美国"最严厉和最全面的个人隐私保护法案",于2020年1月1日生效。2018年5月23日,英国正式通过新修订的DPA2018《数据保护法》,重新建立英国数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出裁剪规定。在此大环境下,中国相关法律法规也相继出台,2021年9月《数据安全法》正式施行,为后续各类数据领域配套制度、规范及标准的制定提供了依据。2021年11月施行的《个人信息保护法》,堪称中国首部个人信息保护单独立法,翻开了我国个人信息保护法治事业的新篇章。
伴随着各国立法执法持续推进,关于数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代,更有助于全方位保障网络安全。
API经济带动API安全猛烈增长
报告认为,API经济模式主要有四种形式:
· 链接能力、技术变现:作为拥有核心技术的平台型企业来说,可以通过API将自己的技术能力SaaS化输出,不断深化应用场景,扩大影响力。
· 链接数据、释放价值:作为数字时代的新生产要素,数据的价值是不可估量的。大型互联网和科技企业都拥有自己的用户行为或业务大数据,通过API的形式将数据资源共享给企业内部团队,是企业创新的最佳方法。
· 链接生态,扩大战场:通过API进行有效的业务整合和协作。使用多个企业的API来创建自己的服务,通过业务场景进行服务的编排再出售,服务于不同的用户群体。
· 链接流程,提质增效:企业内部管理环节的模块化,有助于随时根据战略要求进行适当的变更,减少不必要的时间浪费。企业内部业务流程的模块化,有助于信息共享和高效协同,提高技术能力的转化效率。
小阑解读
疫情流行对全球经济乃至企业机构带来的涟漪影响,超过一半的组织持续投入数字化转型资金。而数字化转型的效果,取决于组织将其服务、能力与资产整合为可重用的模块化软件形式的能力,即API为核心驱力的数字化转型。API部署能够帮助企业发展自身数字业务,但在此期间,也必须着力审视企业API性能的优化空间,并思考如何进一步推动创新,带动企业市场活力。
API带动市场高能发展的关键因素有以下几点:
· DevOps、前后端分离的研发模式带动API数量大幅增长;
· 混合云架构发展带动API经济兴起;
· 开放式企业、金融机构推动API市场发展;
· 微服务架构改造带来大量API管理及开放需求。
API使万事万物更容易整合和连接,例如人、位置、系统、数据、事物和算法,将引起企业根本性的变革,影响业务和运营的许多层面,促进企业重新塑造适应于数字时代的商业模式,即API经济的形成。
数字时代选择了API,安全行业就要肩负起保障和促进API发展的责任。API安全基于多种安全规则的交叉,主要是以下几部分:
· 数据安全:数字信息的整个生命周期中保护数字信息不受未经授权的访问、损坏或盗窃。
·云原生:一个快速构建应用的理念,一种快速交付应用的技术集合,包含:服务网格、声明式API、不可变基础设施、微服务、容器。
·应用安全:在应用程序中开发、添加和测试安全功能的过程,以防止安全漏洞抵御未经授权的访问和修改等威胁。
·API管理:以AI与ML为基础的API安全及监控解决方案逐渐得到广泛采用,以帮助企业快速检测并阻止恶意攻击。
· API 生态:API 正成为囊括合作伙伴、开发人员与客户网络的数字业务生态系统当中的骨干。这些生态系统可以完全由内部各团队成员(即内部开发员工)组成,也可以包含外部个人与组织,例如供应商、第三方厂商、承包商、客户、开发人员、监管机构甚至是竞争对手。
心有所信,坚定不移的API安全之路
API的本质是一种无处不在的服务,是以低成本实现数据流通的方式,连接场景与供应商,使数据价值最大化输出,推进跨企业、跨行业甚至跨领域的合作,使得这些信息化孤岛能够有机结合迸发出新的生命力。
目前,API承载着越来越复杂的应用程序逻辑和越来越多的敏感数据,API基础之上也诞生了非常多的新兴通信场景。作为一把双刃剑,API在为企业提供便利的同时,也成为攻击者关注的重点目标。国际国内API遭受攻击的事件屡见不鲜,众多企业面临新的安全挑战。因此,不断优化升级安全技术,帮助企业探索适应新需求的安全体系具有重要意义。
API是一种全新的安全逻辑,安全行业逻辑经历了四个阶段,从最初的面向单一的安全问题、到面向环境和IT架构解决综合威胁,再到与业务紧耦合解决业务风险,最终再发展为面向连接,即基于抽象架构来使用松耦合和可扩展的方式来解决更多综合性威胁;而API就是属于面向连接中的一种。
星阑科技认为,API全生命周期安全建设在于通过API资产梳理、API风险识别、API入侵检测与防御、基于人工智能的API数据识别与行为分析等核心能力,帮助企业发现并收敛API生产过程中的风险,拦截针对API的漏洞攻击及数据窃取行为,最终围绕API的设计、开发、测试、运行、下线等不同阶段建立起API全生命周期安全管理方案。
该方案可应用在开放银行、智慧城市、数字政府、移动互联网等IT数字化转型过程中的数据交换、共享场景,云边端大规模分布式应用架构带来的海量API通信以及以API为载体传递应用能力、数字能力的新经济模式等众多场景中,为万物互联时代的数据交换、大规模分布式架构、云计算、IT数字化改造提供安全保障。
通过API资产智能识别、API威胁及行为监测、API数据流动监测等维度为数字金融、开放银行、云计算等应用场景,星阑科技可以提供API安全多维度防护能力,并提供开放灵活的场景配置能力,致力于帮助企业建立API全生命周期防护。
在探索API安全的道路上,星阑科技从未止步。除了不断输出成熟的优秀的产品与优质的解决方案,为各行各业API安全提供保障以外,星阑科技还进一步投入到API安全的相关标准制定工作中,协同工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、西北工业大学北京研究院及众企业高校共同编制《数据传输安全白皮书》,以推动产业界凝聚共识,提出实用、管用的解决方案和产品服务,促进各行业切实提升数据传输安全保障能力,并致力于为我国IT产业数字化发展提供应用引领、标准规范、绿色安全的数据传输安全底座,全力保障国家发展利益。
✦
✦
往期 · 推荐
原文始发于微信公众号(星阑科技):API安全研究报告2022深入解读(文末惊喜福利)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论