360 API安全网关系统

产品概述

360 API安全网关是一款实时监控、检测和防御API接口安全威胁的产品,通过对网络流量的API接口协议分析、监控和控制来确保API接口的安全性和数据流动合规性,保护数据和应用程序免受损害。系统从API协议分析、接口发现、资产梳理、风险监测、涉敏数据管控、访问权限控制、攻击安全防护及行为操作审计等多维度构建整体API接口安全整体方案。帮助用户梳理庞杂的接口及应用,分类分级管控,监测接口自身风险、数据流动风险,发现异常行为等,做到API资产安全的“可知、可管、可视、可溯”,为应用系统的业务数据合规的正常使用和流转提供数据安全保障。

功能介绍

API安全网关从API资产运营管理、主体身份认证、访问权限控制、涉敏数据流转、风险监测研判、攻击安全防护及API安全能力提升等多维度构建API安全整体方案。

API资产运营管理
通过产品自动化扫描、流量分析以及人工梳理与鉴别等技术,对政企客户自由的API资产进行全面发现、梳理和运营,形成专属的接口资产表,为后续的安全策略制定和管理打下基础。
主体身份认证
基于产品灵活的认证方式,对访问API接口的系统、应用、IP及人员账户等身份进行验证,通过合法的身份验证决定其访问行为,基于身份信息精准授权,决定身份权限可读取和调用的数据资源。
访问权限控制
产品通过身份认证机制,可根据访问客体的身份及应用权限对API接口实现限时、限频、限流、访问数据脱敏、敏感词过滤及访问拒绝等控制措施,及时发现和阻断接口的高频访问行为、数据过量下载、敏感数据过度暴漏等风险;借助身份的核实验证和精准的访问授权实现API接口访问数据的管理。
涉敏数据流转
产品具备接口数据过滤能力,通过定义过滤模板对敏感数据进行过滤,能够识别并分类API暴露的敏感数据,并对敏感数据进行处理和严格的访问控制,确保敏感数据不被非法获取、使用或泄密。
风险监测研判
产品内置API接口访问异常库,能够实施监测API接口的访问情况和异常行为,通过异常库的内容判断API接口的访问是否存在异常情况,当监测到异常行为时及时发出预警,并对该异常行为进行危险等级的定位或执行隔离操作。

部署方案

旁路审计模式

1、部署灵活方便,应用无感知,只需在网络设备上配置流量镜像,API应用服务器没有任何感知,实现对网络流量进行解析还原、数据分析、日志存储。

2、不占用服务器自身的计算资源,避免影响服务器正常运作 。

串行部署模式

1、串联到网络链路中,对API流量进行安全分析过滤。

2、可通过限流、限频、限时、脱敏、过滤等手段建立访问控制。

3、不占用服务器自身的计算资源,避免影响服务器正常运作 。

4、具备代理模式、网关模式两种串接部署模式。

5、支持主、备部署模式,最大限度规避可能的单点故障。

云环境部署模式

1、适合公有云、私有云、混合云、虚拟化等场景。

2、云环境、虚拟化环境等无法做旁路镜像的场景,可在应用系统主机上部署流量采集Agent。

3、Agent采集网卡双向流量并经网络转发至API安全网关进行解析审计,将分析后的数据在大屏进行展示、告警 。

典型应用

场景举例
  • 政务数据API接口安全管控
需求:
  • 政务一体化大数据共享平台对政务数据在各个场景中的流通变得越来越开放;数据实时交换、数据汇聚、数据治理都给数据安全防护带来新的挑战。当前一体化大数据平台共享子系统和开放子系统之间的数据交换和共享流动均采用API接口实现,为保障交换和共享过程中接口数据安全,需要提升和防护数据接口安全和数据应用安全防护,利用信息化手段改造提升防护能力,实现API接口的管理、接口主体认证、接口访问控制、共享与开放数据敏感数据管控、攻击防护、数据资源发布、加密和脱敏能力;构建以身份认证为底座的数据安全防护体系,减少因为接口安全问题而引发的网络安全事件,提升大数据共享和开放的数据安全防护力度。
解决方案:
  • 通过对省一体化大数据平台数据接口防护能力的改造和XC适配,实现对省一体化大数据平台共享子系统和开放子系统代理和发布的省级近两万个接口和国家接口数量为上百个接口提供安全防护。一体化大数据平台共享子系统和开放子系统的数据接口防护能力改造部署在XC云政务外网和互联网区提供安全防护。可提供集群或分布式负载的云化部署;通过基础层流量采集技术,对网络流量中的 Http/https的请求与返回进行解析。针对业务应用系统以及API接口中敏感资产传输监控以及异常操作监控,利用风险模型及机器学习的技术,建立相应的数据安全流转机制,对数据流转过程进行合规监控和防护,并对攻击与风险进行及时对告警与响应。
场景举例
  • 金融行业场景下的API安全能力建设
需求:
  • 2020 年 2 月,中国人民银行发布了《商业银行应用程序接口安全管理规范》规定了商业银行应用程序接口(API)的类型与安全级别,贯穿API的整个生命周期。
  • 2021年《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界,应使用API防护技术。
  • 金融行业目前存在的问题有:API资产统计不全、存在脱管API接口、僵尸接口;难以发现API接口请求数据的安全性,是否存在违规数据获取。敏感数据泄露和恶意代码注入,需要针对接口识别风险发现。
解决方案:
  • 自动识别API资产、分类分级,敏感资产评估、形成资产清单。
  • 确定请求身份是否是API 服务允许的客户端请求。
  • 确定请求是有权限的?因为某些API 只有特定的角色才可以访问。
  • 对于某个角色的权限设置正确,但访问控制做的不一定正确,这也是存在很多越权操作的原因。
  • 记录API 调用时的关键信息,事后能够通过审计手段及时发现问题并溯源。 API 接口自身的保护,及时下线僵尸API、影子API。

技术优势

接口资产自动发现

API安全网关自动发现API接口,识别哪些接口存在敏感数据传输,哪些接口存在对外访问行为;针对发现的API接口分类分级,建立API资产清单,帮助用户了解API真实资产情况,发现和识别API自身脆弱性和应用过程风险。

数据流动安全管控

通过身份认证、授权、访问控制、审计和资产防护等5A维度纵深应用在API接口数据流动全过程,鉴权鉴别数据流动风险,监控接口访问行为,通过限流、限频、限时、脱敏、过滤等手段建立多维度访问基线和API威胁建模,保障用户对业务数据的可用不可看、合规流转。

数据安全风险监测

对来源环境和访问行为进行全息感知,基于风险监测模型感知已知、未知的漏洞、攻击、滥用等异常行为,及时预警资产脆弱性提醒、减少资产暴露面、越权访问、数据接口爬取及敏感数据过度暴露等敏感数据异常风险,通过风险感知、风险治理与安全监管手段规避数据安全风险。

数据泄漏溯源

满足法规和监管机构对日志记录要求,若发生数据泄露情况,通过监控操作审计溯源到泄露者,实现从业务系统泄露的数据都能够溯源到人,并提供原始日志作为证据。

风险情报共享

共享全球领先的360安全大脑形成的威胁情报,更加快速、精准、全面的定位可能存在的API威胁操作行为。威胁情报平台以360云端安全大数据能力订阅为基础,支撑用户整合多源情报数据和安全应用服务,以多种协同方式联动API安全网关,助力安全团队实现情报运营管理,告警检测分析,事件通告推送,多源模型研判。