API 安全建设白皮书 API 安全建设白皮书 版权所有:深圳永安在线科技有限公司 1 API 安全建设白皮书 目录 前言.................................................................................................................................................................................3 1. API 是什么............................................................................................................................................................... 3 1.1. API 的定义....................................................................................................................................................... 3 1.2. API 的类型................................................................................................................................................... 4 1.3. 小结...............................................................................................................................................................5 2. API 的安全挑战....................................................................................................................................................... 5 2.1. API 防护缺失已成业务和数据安全最大风险敞口.......................................................................................6 2.2. API 面临的主要安全问题............................................................................................................................... 6 2.2.1. API 资产不可见....................................................................................................................................... 6 2.2.2. 攻击面增加.............................................................................................................................................. 7 2.2.3. API 攻击更加隐蔽................................................................................................................................... 8 2.2.4. 监管合规性挑战...................................................................................................................................... 9 2.3. 小结................................................................................................................................................................ 10 3. API 全生命周期安全防护.....................................................................................................................................10 3.1. API 安全设计的指导原则............................................................................................................................. 11 3.1.1. 5A 原则................................................................................................................................................... 11 3.1.2. 纵深防御原则........................................................................................................................................ 12 3.2. API 生命周期的安全防护模型..................................................................................................................... 13 3.2.1. 设计阶段:引入威胁建模.................................................................................................................... 14 3.2.2. 开发阶段:安全开发意识和规范培训,引入安全工具....................................................................15 3.2.3. 测试阶段:漏洞加入测试流程,使用 AST 类工具提高覆盖率....................................................... 16 3.2.4. 上线运行阶段:借助网关、WAF 和流量审计工具提早感知攻击面................................................ 17 3.2.5. 迭代阶段:利用安全工具及时审计 API 变更....................................................................................21 3.2.6. 下线阶段:及时下线僵尸影子 API.....................................................................................................21 3.3. 小结................................................................................................................................................................ 22 结束语.......................................................................................................................................................................... 22 版权所有:深圳永安在线科技有限公司 2 API 安全建设白皮书 前言 数字经济时代,数据成了重要生产要素,对数据要素的掌控和利用能力,已成为经济增长 的核心驱动力。数据因其变现价值极高使其成为企业的重要资产,与此同时围绕数据的攻防也 变得越来越剧烈,数据的安全是网络安全不可或缺的重要组成部分。 在云计算、大数据、物联网、人工智能、5G 等新兴技术的推动下,伴随着近些年的疫情 因素,大部分企业都在积极推进数字化和在线化转型。数字化和在线化使得连接数据和应用的 API 爆炸式增长。企业通过 API 的能力将数据资源整合,提供给到用户、合作伙伴、内部员工 等多方使用,让数据在多方流动起来,并借助云智物大移的技术提高企业的生产效率。API 在 数字化转型中扮演的角色将愈发重要,通过 API 来进行数据交换和实现业务逻辑成为最常见的 方式,每个 API 都有可能成为一个攻击面,API 增多,漏洞也会增多,API 也因此成为攻击者 的重点攻击对象。 2022 年国家级攻防演练新增了对于数据泄漏的攻防点,说明数据的安全保护逐步从监管 法规落实到具体的攻防实战中来。虽然入侵拖库带来的数据泄漏随着网络边界安全水位增高, 难度已经非常大了,但近些年因 API 安全问题导致的数据泄漏事件却频频发生,可以看到 API 安全是一个常见但似乎又不为人熟知的挑战。OWASP 每年整理 API Secu

pdf文档 永安在线 API安全建设白皮书

文档预览
中文文档 22 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共22页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
永安在线 API安全建设白皮书 第 1 页 永安在线 API安全建设白皮书 第 2 页 永安在线 API安全建设白皮书 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-08-20 01:30:29上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言