API技術的“前世今生”

API(Application Programming Interface)應用程式設計介面是伴隨著計算機程式設計技術與軟體工程發展起來的基礎概念，最早的設計以提升系統與應用程式的開放性整合與擴充套件效能力為主；隨著現代面向服務的架構、雲端計算技術廣泛採用與應用開發模式升級， API現在被廣泛用於定義與提供整合業務應用與服務，並且具備了內外部資料傳輸能力。API技術自身的REST架構化風格發展（Representational State Transfer，表述性狀態轉移）其核心是為了 更直觀、便捷的獲取、操作、傳輸資料資源。

數字經濟時代、企業數字化轉型過程中，資料資產的比重與價值得到迅速提升， API成為資料價值開發利用環節最重要的媒介之一 ，企業的核心業務邏輯與敏感資料開始“API化”，並推動著技術與業務服務模式創新。例如，在金融科技領域，浦發銀行於2018年7月推出了業內首個API Bank無界開放銀行，通過API架構驅動，塑造全新銀行業務模式。

在技術與商業價值等多重驅動下，API應用煥發了前所未有的活力。據Akamai的一項統計， API請求已佔所有應用請求的83%，預計2024年API請求命中數將達到42萬億次；僅2021年通過Postman平臺的API通訊遍佈全球234個不同國家，較同期增長56%。API已經幾乎在全世界被開發和呼叫。

API資料安全形勢與監管合規要求

與此同時，伴隨著API商業價值與自身承載業務與資料互動能力的不斷躍升，安全形勢變得愈發嚴峻。相對傳統安全隔離與縱深防護的體系，利用API“綠色通道”進行商業機密與個人資訊資料竊取等網路攻擊，攻擊路徑、成本顯著降低，因此 針對API的網路攻擊迅速受到內外部威脅的“青睞”而成為首選目標。根據Gartner此前的預測:“ 到2022年，API濫用將成為導致企業Web應用程式資料洩露的最常見攻擊媒介;到2024年，API安全問題引起的資料洩露風險將翻倍。”來自國內永安線上API安全研究報告，僅2022年第一季度共監測到640餘起資料洩露事件，涉及企業200餘家，並顯示出逐月明顯上漲的趨勢。

流動型資料保護的合規要求

API承載的資料是最典型的流動型資料或動態資料(Data in Motion)。內外部業務應用與服務通過API提供資料能力，多數應用系統基於 HTTP/HTTPS 協議對外提供服務，資料使用者涵蓋了內部使用者和外部客戶， 涉及大量的結構化及非結構資料的互動，資料在應用流轉的過程中，極其可能出現敏感資料暴露面擴大、存在保密資料不正當擴散的風險。

近年法律法規監管趨勢逐漸以資料或者是明確重點資料保護目錄、建設資料安全治理體系建設、推動社會協同治理為中心。 《資料安全法》明確資料安全是指通過採取必要措施，確保資料處於有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力，要求明確資料的形態、型別；強調資料分類分級以及針對資料差異化保護的要求，要求採取必要措施，保障資料得到有效保護和合法利用。國家與重點行業標準與政策則進一步圍繞行業相關的重點資料生命週期安全與分類分級保護提供規範指引，例如 《工業和資訊化領域資料安全管理辦法(徵求意見稿)》要求“傳輸重要資料和核心資料的，應當採取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施。”中國人民銀行釋出的 《金融資料安全資料生命週期安全規範》則更是要求 “對使用API進行資料跨域流動的邊界，應使用API防護技術”，要求“對API資料的外發與回傳進行審計”，在通過API介面方式向特定平臺提供資料的資料應用交換場景中要求使用脫敏等資料安全技術。

API資料安全保護：
產品與關鍵能力要求

✅ API安全與API資料安全

API自身安全不等於API的資料安全，也不是本文關注的焦點。API安全是一個更全面、複雜的體系，但這種體系更多依然是圍繞面向已知網路威脅、攻防對抗的邏輯；安全能力直接依賴於API資源與缺陷管理、訪問控制、身份認證、授權等技術控制與安全實踐。 全球知名Web應用程式安全專案的非盈利基金會(OWASP)釋出的十大API安全風險中，與資料洩露、過度暴露有關等風險過去幾年一直位居前三。

在當前安全形勢下，網路黑產活動猖獗、資料經濟利益驅動的網路攻擊比例遠高於其他目的，每一項API安全問題最終都會直接或間接導致安全屏障失效與資料洩露風險。

✅ API資料安全：產品與技術

API安全建設與SDLC(軟體開發生命週期) API設計與實現環節相關，並要建立全生命週期API管理流程與技術機制，這個過程不能忽略對於 以資料為中心的安全能力的建設。

通過安全技術識別與防護API安全風險依然很重要，但需要不斷引入發展的資料安全技術與能力才能真正提升API的資料安全能力。在技術與產品能力評估方面，有以下關鍵發現與建議：

✅ 1

採用API資產管理、API閘道器、API安全治理類產品，可以提升 API生產消費整個業務流程安全，但資料內容安全能力可能不足。API安全關鍵能力包括API威脅情報（黑產/溯源）、攻擊防護、API介面梳理與監控(生命週期管理)、API訪問策略管理與控制等。 國內API安全廠商針對目前資料安全形勢與合規要求，開始提供部分資料安全能力，包括API資料洩露檢測、資料動態、脫敏防護等功能，這部分能力目前來看 以敏感資訊特徵與靜態規則（關鍵字與正規表示式）、結構化與半結構化(如JSON/XML)資料為主。然而，一旦脫離業務應用及資料庫邊界，大量靜態結構化資料開始轉變為流動中的非結構化資料被消費，API應用更加速了這個過程轉換。按照IDC的預測，到2025年， 超過 80% 的資料都會是處理難度較大的非結構化資料。

✅ 2

API資料安全不能也不應該脫離企業統一的資料安全治理體系。首先API作為敏感資料資產的一個重要媒介與開發利用通道， API的資料安全不應該作為獨立的安全領域獨立規劃建設，而 應該同樣納入到企業整體的資料安全建設體系中，與企業覆蓋全IT體系的資料安全能力如網路、郵件、端點、移動與業務應用遵從一致性的資料分類分級安全保護與處置策略以及共享統一的資料安全風險管理檢視。

✅ 3

應該結合資料安全建設實踐， 引入新的資料安全技術與部署模式，靈活支撐API業務資料安全不同的場景。首先，在API閘道器、管控類技術梳理API資產與風險的基礎上， 提升應用識別與資料可視能力。Gartner在最新的十大安全專案建設（Gartner 2020-2021 Top Security Projects）中，針對API安全, 建議“引入CASB技術進行雲應用發現，識別影子IT，然後可以考慮（結合SWG技術）部署正向/反向代理和API來實施控制。對CASB而言，發現並保護雲中的敏感資料至關重要，並且最好採取跟本地一致的敏感資料防護策略。”

其次， API作為一種對於可用性敏感的服務，自身需要 平衡可用性與機密性風險。例如高併發核心業務難以接受一刀切式的API閘道器類產品形態串接的部署方式，而僅旁路引流監控審計的事後模式，又不具備切入業務邏輯及時防範資料安全風險與安全處置。API安全技術在實施部署機制上要彈性適應不同技術路線。

天空衛士API資料安全解決方案

針對API中潛在的資料洩露與竊取風險，以及API濫用情況下的安全管理，天空衛士提供了全套的API資料安全解決方案，助力企業在數字化轉型中的API應用，幫助企業能在有效利用API帶來的業務便捷性、高效率和靈活性的同時，保障資料的安全使用和傳輸。

✅ API資料安全外部審計模式

1

外部審計模式採用用於對API流量的旁路監聽方式部署，重點是發現在API中的敏感資料互動情況，而不干預API本身的執行。API模式通常用於視覺化分析、外部深度審計、敏感資料流動分析等場景。

在外部審計模式下，通過交換機、分光器等流量映象裝置將需要分析的目標API的流量映象到天空衛士UCSG-DSG，在DSG中，通過關鍵詞、正規表示式、字典、機器學習、檔案指紋、資料庫指紋等多種方式對流量進行分析。匹配由UCSS資料安全管理平臺下發的資料分類分級識別策略，記錄在API中互動的流量中的敏感資料互動情況。並最終輸出相應的分析報表，在必要時，對不應當出現的敏感資料或者一些高階別的事件進行及時的報警。防止大規模的資料安全事件的發生。

外部審計模式可以有效的提供一個外接的方式對API中的資料互動進行審計，分析API訪問者的敏感資料訪問行為，在海量的API互動過程中發現敏感資料的異常訪問，為API的安全運營提供有力的資料支撐。外部審計模式最大的優點是不會介入當前的業務執行，缺點是發現安全風險時無法進行及時阻斷，而對於阻斷我們還需要下面的幾種方案。

✅ API資料安全阻斷模式

阻斷模式主要是採用天空衛士UCSG-ASWG使用反向代理模式串接在API的訪問路徑上， 對API互動過程中發現的敏感資料洩露事件進行實時阻斷，防止安全事故的發生。

在阻斷模式下，UCSG-ASWG以反向代理工作模式串接在API前端，對API的上下行流量進行分析，和旁路模式一樣，可以使用關鍵詞、正規表示式、字典、機器學習、檔案指紋、資料庫指紋等多種方式對流量進行分析。發現在流動中敏感資料，並根據UCSS下發的資料安全策略，對其中的高危資料傳輸可以進行實時阻斷，有效阻止資料洩密事故的發生。

ASWG除了對傳輸的資料內容進行分析外，還可以為API提供入口 認證和負載均衡功能，可以有效的提高API自身的安全性和可靠性。ASWG也可以通過高可用部署的模式來實現自身的高可用性。

阻斷模式最大的優點是可以對洩密事件進行實時阻斷，缺點是會介入在API的訪問流程中，需要從系統架構、設計等方面考慮系統的高可用性。

✅ API資料安全應用對接模式

應用對接模式主要用於非結構化文件，包括報文、各類物件儲存資料的API互動場景。在這些型別的API中，通常有大量的文件型資料進行交換，無論是資料收集或者資料下載，這些資料通常的載體包括Office文件、PDF、圖片、CSV或者是其他任何型別的檔案互動，典型的操作常見於物件儲存的使用場景。

應用對接模式主要使用天空衛士UCWI內容安全審查平臺通過API方式與API服務進行對接。當API服務接收文件後或者外發文件前，把文件通過API介面發給UCWI，UCWI通過預先配置的策略，對檔案進行以下分析：

文件的威脅分析：包括病毒、木馬、惡意連結等外部威脅分析；
文件的格式安全分析：文件自身的實際格式與交換的字尾名是否相符；
文件的內容安全分析：通過預先制定的資料安全策略對文件進行分類分級分析；

分析完成後，UCWI可以將分析後的結果返回給發起端的API服務，API服務可以通過對UCWI返回的資訊進行判斷檔案是否屬於安全的互動。

通過應用對接模式，可以使大量本身不具備資料內容安全識別的能力的應用與服務可以具備資料內容安全的分析能力。從而 有效的保障在大量的業務資料安全合規要求比如第三方交換、資料採集、跨域傳輸、跨境傳輸等場景下的資料安全。

天空衛士API資料安全解決方案

相關文章