API安全

API安全有什么产品特性？

零部署，即开即用

针对已接入WAF的域名，一键即可开启API安全管控能力。针对未接入WAF的云上域名，支持自动发现，一键接入。

资产全自动发现

实时分析业务访问流量，自动发现API资产并动态梳理资产用途、变化。根据资产发现结果对资产功能场景、数据标签、活跃状态、鉴权情况打标分类。

API接口限流

支持根据url、method、header参数等对不同接口、不同调用方等进行频率控制，帮助企业应对突发流量和恶意攻击，保护后端资源免受过载和滥用，提高系统的稳定性和可用性。

敏感数据防泄露

内置敏感数据识别规则，智能识别身份证、手机号等19种敏感参数信息，覆盖《个保法》提及的个人身份信息、财产信息、上网信息、位置信息等信息类型，且支持自定义敏感检测规则，防止敏感信息泄露，保障数据安全。

异常事件管控闭环

持续检测API存在的各类安全风险，覆盖权限异常、账号异常、资源滥用、业务异常、涉敏异常、Web攻击等类型风险事件，帮助企业分级分类处置风险，一键添加专家建议的处置规则，助力安全事件快速闭环，降低业务安全风险。

API流量分析

总览企业的API 资产、API 活跃程度、API 涉敏情况、API 风险事件及变化趋势，助力企业可视化管理API全生命周期防护，及时感知并处置威胁。

如何进行API安全审计？

同步数据资产

在数据安全审计服务中添加并开启审计权限的数据库。

部署Agent

根据数据库和应用系统所在位置和操作系统，下载并部署对应的Agent。

配置审计规则

开启数据资产的审计权限后，可进一步管理审计规则，包括新建自定义规则。

查看审计日志

在审计日志页面查看数据库的操作日志，以及在审计风险页面查看发现的数据安全风险。

如何对API安全进行测试？

使用API网关进行安全审计

腾讯云API网关提供了链路加密、认证鉴权、请求映射与转换、参数校验、IP访问控制、跨域访问控制CORS、流量监控与保护、DDoS防护能力以及与Web应用防火墙WAF结合等多种方式来保护API安全。

敏感API资产识别能力建设

通过专家规则的敏感内容识别方案，可以识别和防止敏感API资产的泄露。

安全政策和流程建设

建立严格的安全政策和流程，确保API安全稳定运行。

自动化安全监测框架建设

利用技术和工具实现自动化的安全检查和风险评估，提高审计效率和质量。

API安全使用了哪些加密技术保护数据传输？

TLS协议

腾讯云API网关支持基于TLS协议对链路中传输的报文数据进行加密，保护传输数据不会被泄露及篡改。

AES加密算法

在腾讯云云服务器API接口对接过程中，可以使用AES(Advanced Encryption Standard)算法进行对称加密，以提高数据的保密性和完整性

如何对API安全进行安全审计和风险评估？

安全审计方法

• 使用API网关进行安全审计：腾讯云API网关提供了链路加密、认证鉴权、请求映射与转换、参数校验、IP访问控制、跨域访问控制CORS、流量监控与保护、DDoS防护能力以及与Web应用防火墙WAF结合等多种方式来保护API安全。
• 敏感API资产识别能力建设：通过专家规则的敏感内容识别方案，可以识别和防止敏感API资产的泄露。
• 安全政策和流程建设：建立严格的安全政策和流程，确保API安全稳定运行。
• 自动化安全监测框架建设：利用技术和工具实现自动化的安全检查和风险评估，提高审计效率和质量。

风险评估方法

• 云业务风险评估：评估云环境安全状态，提供云资产盘点、云身份权限检查、云安全风险识别、云暴露面发现等服务，帮助企业发现潜在安全风险和威胁。
• 暴露面风险评估：对企业及其关联公司、供应链的资产暴露面、脆弱性及外部威胁进行挖掘分析，并借助攻击模拟等手段进行攻击路径验证，帮助企业进行资产梳理、风险分析及风险修复。
• 防御有效性评估：借助攻击模拟平台及内置/自定义的攻击剧本，自动化、场景化验证企业现有安全设备及防御体系的有效性，可覆盖边界防御、主机防御、邮件安全、内网安全、终端安全等多场景的安全验证

API安全有什么应用场景？

API资产全生命周期管理

如何建设「API资产全生命周期管理」方案？

我们的解决方案

• 资产全自动发现，通过业务访问日志自动分析资产使用场景、活跃状态，动态盘点业务API调用关系，避免安全团队手动梳理、手动分类，将僵尸API、影子API、涉敏API一网打尽。
• 风险全自动评估，智能分析业务资产涉敏、未鉴权、被攻击等场景风险，形成风险事件并告警，帮助安全团队事前加固，事中一键添加专家建议规则收敛风险，事后快速观测攻击源日志情况。
• 态势可视化查看，通过API流量分析看板，能够快速观测资产、事件变化情况，及时处置风险。

API资产风险管理

如何闭环API资产的安全管理？

我们的解决方案

• 梳理风险暴露面：通过API流量分析看板了解较今日资产、风险变化情况，其中需优先关注新发现、高风险、涉敏的资产及事件，及时确认。
• 确认资产并梳理纳管：点击查看API资产详情对资产进行分析，关注资产访问及攻击趋势，如有风险事件需及时添加规则加固资产，如有涉敏、未鉴权、失活风险需及时整改API资产。
• 体系化管控并收敛风险：及时下线僵尸API、加密涉敏API、处置风险事件，并对相关的资产和事件状态进行流转，闭环资产管理。

敏感数据管控

如何管控涉敏API资产

我们的解决方案

• 全自动资产梳理：发现要检测的资产，避免防护对象有漏网之鱼。
• 涉敏检测及标记：识别API资产输入输出中是否携带敏感数据，以对涉敏资产进行标记。API安全功能内置了数种检验算法及策略，覆盖《个保法》要求的常见个人信息如银行卡、家庭住址、手机号等进行检测，且支持自定义检测规则。
• 加固涉敏API资产：针对已发现的涉敏风险事件和涉敏资产，可以添加信息防泄露策略，对敏感数据进行脱敏或替换；也可以添加访问控制策略，对敏感操作配置人机识别等二次校验；或通过API入参检测规则策略，对API调用进行临时阻断。

API限流

如何通过「API限流」防止服务“雪崩”

通过设定合理的阈值，限制每个用户或每个接口的请求频率，企业可以保护后端资源免受过载和滥用，提高系统的稳定性和可用性。

建议增加API限流策略的业务场景

• 活动保障：在大促秒杀、抢票抢券等活动场景，由于准确预估活动热度很困难，可以针对关键接口配置限速，拒绝超出访问阈值的访问或采取排队策略，避免后端崩溃。
• 关键接口防护：突发攻击往往防不胜防，一方面可以通过CC、BOT策略对抗复杂攻击，另一方面可以针对关键域名/接口可以配置兜底限速策略。
• 对不同服务对象限速：针对多个服务的客户共享后端资源的场景，多个服务对象间做好资源隔离是较好的方案，但是往往处于节约资源及成本控制的考虑较难实施，可以针对不同的调用方设置服务/接口的调用限速策略，避免雪崩影响其他用户。