《數據安全法》與API安全加速落地的關系
伴隨網絡安全法律法規體系不斷完善優化,相關配套制度相繼出臺,網絡安全標準體系進一步完善,將持續推動需求側不斷增大安全投入,促進網絡安全需求加快釋放。例如API安全相關產品和解決方案2021年在國內普遍落地,少不了《數據安全法》的推動。API安全廠商星闌科技為我們分析了《數據安全法》與API安全發展之間的關聯。
《數據安全法》落地,API數據風控時不我待
隨著信息技術和人類生產生活交匯融合,各類數據迅猛增長、海量聚集,對經濟發展、人民生活產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發展的重大問題。按照黨中央決策部署,貫徹總體國家安全觀的要求,全國人大常委會積極推動數據安全立法工作。
《數據安全法》是繼《網絡安全法》提出數據的概念后,我國在數據安全立法層面的又一個重大里程碑,是中國數字經濟高速發展的壓艙石和定海神針。隨著《數據安全法》的出臺和落地實施,數據要素安全管控和市場化將同步提升,數據資源將會迸發出更大的活力,數字經濟將在“十四五”時期更加蓬勃發展。
《數據安全法》建立了分類分級保護制度,并提出了重要數據、核心數據等概念。其中,重要、核心的判斷標準主要是:
1)在經濟社會發展中的重要程度;
2)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度。
《數據安全法》為數據交易制度提供了兼顧安全和發展的原則性規定,有利于在保障安全基礎上,促進數據有序流動,激勵相關主體參與到數據交易活動中來,充分釋放數據紅利。
API經濟與API生態
隨著系統集成和互連變得越來越普遍,應用程序接口(API)在企業數字化轉型中扮演了重要角色。它將系統和數據,乃至整個應用背后的復雜生態都緊密連接在了一起,促進了“API經濟模式”的形成。然而,業務拓展的開放性需求同數據資源的安全保密需求顯然背道而馳,兩者的矛盾在API問題上暴露得更加明顯。特別在幾次重大數據泄露事件發生后,API的安全話題成功引起了人們的關注。
API經濟,是指企業通過API建立合作關系而產生的經濟活動。這已經不再是一個簡單的概念,很多企業已經運用在商業活動之中,通過API粘合更多合作伙伴,擴充企業服務場景,促進企業的轉型和升級,甚至重構整個行業的商業價值鏈。
為提升交付能力,敏捷迭代與DevOps應運而生,軟件系統研發流程從流水線作業演化為組件并發生產再集成的形式,隨著后端應用組件的解耦以及SOA架構的普及,API逐步成為連接各應用組件的事實標準。
SOA面向服務的架構出現,很多企業開始將跨平臺、無狀態的API是用來作為系統間創建聯系的通道,以消除前期系統建設的信息孤島,從而降低協同成本,提升利潤空間。API開始受到空前的重視,成為各行業中驅動數字化、信息化變革的主要力量。
API經濟帶來了一種新的商業模式,可以輔助企業以低成本快速響應市場需求,建立企業生態,促使跨產業鏈的企業能力整合,產生創新出新的經濟形式。國內API化程度并不成熟,這也是給我們留下的機會。今后,API開放程度將會成為衡量企業競爭力的核心指標。
API平臺(解決方案)廠商、APM廠商,研發效能廠商、云廠商、安全廠商與新一代API網關廠商構成了API基礎設施生態。多年前我曾被一個同事推薦在Chrome中安裝過一個專門用來調試API的插件,這個插件就是Postman。如今Postman通過API工具及解決方案連接了開發者、小型團隊、企業、公共API網絡,構建出自己的增長飛輪,于今年Postman完成D輪融資2.25億美元,領跑API安全生態。
《數據安全法》與API安全
API作為數據傳輸的通道,從攻防角度來看,攻擊者的目標是企業數據,在主機安全/網絡安全日趨成熟的情況下,與其穿透層層內網竊取數據本身(數據庫),不如攻破數據的傳輸管道(API)來的方便。隨著API的普及,攻擊者可以通過API后端應用漏洞、未授權訪問、越權漏洞直接攻擊API竊取數據。由于API的高速發展以及業務增速和安全的不對位,導致近兩年來API安全問題導致的數據泄露事件頻發。
Postman在超過28000位API研發人員的調查結果顯示,企業對于API集成方案的考慮因素中,安全性位于首位,與性能并重。
API安全是一種用來確保API的設計、開發和維護安全,防止未經授權的訪問、篡改或破壞數據的技術。它通過對API通信行為的采集、監控、防御等手段,發現并收斂API生產過程中的風險,攔截針對API的漏洞攻擊及數據竊取行為,最終圍繞API的設計、開發、測試、運行和下線等階段構建起API全生命周期的安全管理方案,為萬物互聯時代的數據交換、大規模分布式架構、云計算、IT數字化改造提供安全保障。此外,隨著安全思想不斷推陳出新,一些新安全理念(如,零信任)的成果也正在被API安全防護所借鑒。
作為API安全領域創業者,星闌科技認為API安全即為API的全生命周期防護,即圍繞API的“設計、開發、運行、下線”等不同階段建立API全生命周期安全解決方案,解決企業API漏洞入侵、API數據泄露兩大問題。
在以API傳遞應用能力和數字能力為特征的今天,新經濟模式日益繁榮,智慧城市、移動互聯網、物聯網等為代表的IT數字化轉型過程中的數據交換、共享場景是API安全的重點保護對象。
目前,國內的API安全市場尚處于相對早期階段。廠商的解決方案主要圍繞TLS、SSL以及訪問控制等技術手段進行防護,其安全實踐集中在漏洞防護、身份驗證、數據加密、訪問控制和流量限制等。由于多樣化的攻擊手段尚在不斷演進當中,API安全亟需更加具有富有彈性的防護方案;同時,人工智能技術和機器學習方法通過對行為模式的經驗積累,也將幫助企業更精準地識別安全威脅,發現并阻斷API通信中的異常流量。
未來,彈性化和智能化將成為API安全防護技術的主流發展方向。
