API安全有什么应用场景？

API资产全生命周期管理

如何建设「API资产全生命周期管理」方案？

我们的解决方案

• 资产全自动发现，通过业务访问日志自动分析资产使用场景、活跃状态，动态盘点业务API调用关系，避免安全团队手动梳理、手动分类，将僵尸API、影子API、涉敏API一网打尽。
• 风险全自动评估，智能分析业务资产涉敏、未鉴权、被攻击等场景风险，形成风险事件并告警，帮助安全团队事前加固，事中一键添加专家建议规则收敛风险，事后快速观测攻击源日志情况。
• 态势可视化查看，通过API流量分析看板，能够快速观测资产、事件变化情况，及时处置风险。

API资产风险管理

如何闭环API资产的安全管理？

我们的解决方案

• 梳理风险暴露面：通过API流量分析看板了解较今日资产、风险变化情况，其中需优先关注新发现、高风险、涉敏的资产及事件，及时确认。
• 确认资产并梳理纳管：点击查看API资产详情对资产进行分析，关注资产访问及攻击趋势，如有风险事件需及时添加规则加固资产，如有涉敏、未鉴权、失活风险需及时整改API资产。
• 体系化管控并收敛风险：及时下线僵尸API、加密涉敏API、处置风险事件，并对相关的资产和事件状态进行流转，闭环资产管理。

敏感数据管控

如何管控涉敏API资产

我们的解决方案

• 全自动资产梳理：发现要检测的资产，避免防护对象有漏网之鱼。
• 涉敏检测及标记：识别API资产输入输出中是否携带敏感数据，以对涉敏资产进行标记。API安全功能内置了数种检验算法及策略，覆盖《个保法》要求的常见个人信息如银行卡、家庭住址、手机号等进行检测，且支持自定义检测规则。
• 加固涉敏API资产：针对已发现的涉敏风险事件和涉敏资产，可以添加信息防泄露策略，对敏感数据进行脱敏或替换；也可以添加访问控制策略，对敏感操作配置人机识别等二次校验；或通过API入参检测规则策略，对API调用进行临时阻断。

API限流

如何通过「API限流」防止服务“雪崩”

通过设定合理的阈值，限制每个用户或每个接口的请求频率，企业可以保护后端资源免受过载和滥用，提高系统的稳定性和可用性。

建议增加API限流策略的业务场景

• 活动保障：在大促秒杀、抢票抢券等活动场景，由于准确预估活动热度很困难，可以针对关键接口配置限速，拒绝超出访问阈值的访问或采取排队策略，避免后端崩溃。
• 关键接口防护：突发攻击往往防不胜防，一方面可以通过CC、BOT策略对抗复杂攻击，另一方面可以针对关键域名/接口可以配置兜底限速策略。
• 对不同服务对象限速：针对多个服务的客户共享后端资源的场景，多个服务对象间做好资源隔离是较好的方案，但是往往处于节约资源及成本控制的考虑较难实施，可以针对不同的调用方设置服务/接口的调用限速策略，避免雪崩影响其他用户。