在国家大力发展新基建的浪潮下,数据中心、智能计算中心等算力基础设施建设成为重中之重。“十四五规划”明确提出系统布局新型基础设施,加快5G、工业互联网、大数据中心等建设,诸多产业链以信息网络为基础,面向高质量发展需求,提供数字转型、智能升级、融合创新等服务的关键基础设施体系。其中,通信体系和服务是整个产业内数字化转型的关键使能因素,通过对数据、能力、平台提供安全、灵活、可执行的接入服务,不仅对数字化转型起到重要赋能作用,还对新型价值链的构建具有重要意义。
在新基建的浪潮中,5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施;以人工智能、云计算、区块链等为代表的新技术基础设施;以数据中心、智能计算中心为代表的算力基础设施…互相链接,共同赋能数字化产业的蓬勃发展,加快了传统的服务业和制造业的数字化转型进程。随之而来的是,整体经济运行更加透明的信息传递、更少的中间环节和更加高效的资源组织方式。
随着各新型关键基础设施的不断发展互联,网络信息安全边界不断弱化,安全防护对象不断增加,攻击面愈发放大,对数据安全、信息安全提出了巨大挑战,同时也为网络信息安全市场打开了新的增量空间。加之经济全球化之后,数据安全、个人隐私保护等问题越来越受到重视,相关法律法规建设逐步完善,监管力度愈加严格。唯有不断筑牢安全“底座”,携手行业共建安全生态,才能使“新基建”真正成为推动我国经济高质量发展的强大基石。
在共同建设信息基础设施、融合基础设施及创新基础设施的背景下,需要连通不同类型的设施和应用,使得各类数据、算力和功能够在不同的区间内,形成高效共享。目前主流的方式是,为不同的功能和数据构建应用程序编程接口(API),根据相关规范调用API,从而获得API所提供的原子化能力。
在这一模式下,由API传输的核心业务数据、个人身份信息等数据的流动性,大大增强,因此这些数据面临着较大的泄漏和滥用风险,成为数据保护的薄弱一环,外部恶意攻击者会利用API接口批量获取敏感数据。从生态开放角度看,目前数据的交互、传输、共享等往往有多方参与,涉及到用户、应用方、关联方等多个主体,由此使得数据泄露风险点激增,风险环境愈发复杂。
随着信息基础设施、融合基础设施的高速发展,实现上述功能的API通常具有以下特性:
由于多种IaaS层基础设施的出现,一条数据从数据库流转到用户的浏览器过程中,仅在应用服务内部可能就经过了几十层的通信和流转。
新旧业务和新旧架构并存,API体系复杂,需提供异构性的兼容和接入方式。
存在于容器、微服务架构的API,基于业务场景往往只能存活数秒或数分钟,同时云上的DevOps流程,让API的迭代速度越来越快,单个API可能每隔几天就会出现参数或数据变动,这一点对接口安全提出了较大挑战。
在通过API实现能力共享的业务场景中,各类元数据、组件能力、应用管理及构建能力,通过开放平台上的API进行封装,为开发者及合作伙伴提供不同能力的合作接入和基础服务,从而打造面向开发者及能力服务商的开放、合作、共赢的互联网能力生态链。
![行业观点| 浅析数字经济时代新基建安全中的API安全 行业观点| 浅析数字经济时代新基建安全中的API安全]()
图1 API实现能力共享
技术架构方面,通过以传统基础服务设施和PaaS能力平台作为底层支撑,在服务共享层开放多个API原子能力和元数据提供点,部分API和基础能力再经过聚合网关进行承载,最终向外输出相应的开放能力。
![行业观点| 浅析数字经济时代新基建安全中的API安全 行业观点| 浅析数字经济时代新基建安全中的API安全]()
图2 API原子能力展现
对于众多新基建的参与方和应用方来说,API已经成为其面向内外部持续提高能力输出、数据输出、生态维系的重要载体。API经济已是产业互联网中一个重要的组成部分,通过API经济,促进各行各业的数据变更和业务升级。
保护国家关键基础设施的网络空间安全,是国家网络空间安全战略的重要内容。API置身其中,必须坚决维护网络安全,以总体国家安全观为指导,积极防御、有效应对各种API安全威胁和挑战,维护网络空间秩序,保护个人隐私,共建健康安全的API经济生态。
通过单一的API网关或API管理平台类产品,解决API安全的所有问题,是不切实际的。当前,中国正在进入全面数字化时代,5G、工业互联网以及人工智能使用场景的不断深入,全面智能化将成为趋势。工业互联网正在成为传统行业企业结构升级的下一步跳板,物联网也将成为基础设施,其中每一个领域的能力释放都离不开API的广泛使用,这都为API从业者带来广阔的发展前景。
API安全管理体系的建立,离不开API全生命周期模型的应用,通过在各个位点植入安全能力,从而全面提升整体API安全水位,即围绕API的“设计、开发、运行、下线”等不同阶段建立API全生命周期安全技术能力,同时建立API安全生产管理制度与流程加以管控。
![行业观点| 浅析数字经济时代新基建安全中的API安全 行业观点| 浅析数字经济时代新基建安全中的API安全]()
采集后的API通信被汇总至API安全平台端进行统一分析,并提供三大类核心安全能力:
覆盖百余种针对API协议及API基础设施、中间件的漏洞威胁检测能力。
使用多维度统计、行为链路追踪等数据指标,并学习API历史行为特征,更精准的对数据外发、数据泄露、爬虫、薅羊毛等事件进行告警,并针对API、访问源、访问者身份等不同维度建立基线,追踪历史行为,从多次访问的过程中发现异常访问行为。
自动化检测API传输中的数据涉敏和使用情况,为数据泄露监测提供体系化视角,同时根据行业内数据安全分级分类标准进行归类,符合内部审计及监管需求。
“新基建”网络安全防护中安全链接体系,需要具备高层整体思维,运用体系化的顶层设计逻辑,以多元协作为宗旨,追求产业链共建,从而培植数字经济新动能。
原文始发于微信公众号(星阑科技):行业观点| 浅析数字经济时代新基建安全中的API安全
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1445748.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论