市场背景
随着互联网应用的深化和服务的普及,API在应用间的数据传输和控制中扮演着越来越重要的角色,同时,API接口所传输的数据量和敏感性也在不断增加,使得API安全性问题日益突出。API的攻击变得越来越频繁和多样化,对关键信息基础设施单位/企事业单位的安全造成了严重威胁。为此,我们亟须建立切实有效的数据安全防护机制,提升数据安全防护能力。
用户痛点
-
API 数据资产不明由于各类业务服务建设周期长,实施标准不一致,导致安全管理部门无法全面掌握API资产准确信息,如:当前所有系统的API总数、存在敏感数据响应的API、僵尸API、新上线API等,一旦发生重要数据信息泄露,将会产生无法挽回的损失。 -
API访问者鉴权缺失未控制API访问者权限,或未控制数据传输共享范围,或未对数据类别、级别定义区分使用者。缺少数据使用审批措施,缺少专业追溯手段,无法在出现泄漏后及时溯源。 -
数据流转过程中难以审计因通过HTTPS或加密隧道传输,或在访问、共享等维度上缺失管控手段,使数据在流转过程中无法进行有效的审计,导致容易出现潜在的数据泄漏风险,发生重大事件时无法追溯。 -
数据管控措施较少缺少敏感数据在使用过程中的脱敏能力,无法在数据泄漏时做到敏感数据不可见,数据在传输过程中被恶意篡改或破坏,无法及时检测。
解决方案
-
数据资产稽查通过解析网络流量,全面盘点组织/机构内部的静态资产和动态资产,对资产进行发现打标,最终形成数据资产清单。 -
应用资产清单通过对接入流量的解析还原,将业务接口聚合成应用系统,形成应用资产清单。 -
敏感数据标签识别/数据分类分级快速发现敏感数据,对不同类型的数据进行敏感级别分类,并遵守相关法规。 -
数据精准追踪对数据来源精确追踪,流转过程准确还原,数据去向精准追踪。 -
数据流转管控定义数据流转规则和流转动作,完成数据流转全流程管控。 -
业务状态实时监控实时监测业务敏感数据的使用情况,数据流转过程中状态实时监控。 -
全方位审计对数据流转做多维度审计,从数据角度进行汇总统计。
方案特色
-
资产梳理
从未知到清晰持续盘点所有API接口并进行分类分级,包括已使用但未记录的影子API和已过时但仍可访问的僵尸API,以形成完整的API清单,便于企业对 API 数据暴露面进行安全管理,有效减少攻击面和数据暴露面。 -
全流程管控
从数据到人员从数据视角出发,站在数据持有者和使用者的角度,对数据格式和传输路径进行分析,同时评估所经过的安全域的安全性,并基于数据的属性执行管控动作。 -
动态分析
敏感数据动态分析借助知识图谱技术,我们可以实现敏感数据的动态加载和可视化分析,从而对数据从请求到响应的整个过程进行动态深入理解,进一步提高数据流转处理的效率,并降低敏感数据泄漏的风险。 -
数据脱敏
保证敏感数据不外泄基于规则库的数据脱敏技术和基于权限加密的数据查询技术,根据不同敏感程度,制定相应脱敏规则,对敏感数据进行加密权限管理,只有经过授权的人员可以使用加密算法进行脱敏,并查看脱敏后的原始数据。
方案价值
-
保护数据红区通过隔离交换技术,以内部私有协议支持API数据流转,适应高并发场景,解决重要信息数据在管控下合理使用
-
确保数据的完整性和机密性,防止篡改和非法入侵确保数据的完整性和机密性,在数据传输过程中对数据进行隔离和加密,以保护数据的安全传输。
-
保护API安全通过身份验证和授权、加密和传输安全等手段,帮助用户解决常见的API数据安全问题。
-
全面审计通过在重要业务系统服务器安装探针,及在重要位置部署关键设备,无需配置证书,无需重启业务,即可对HTTP/HTTPS类API的全生命周期的多维度审计,有效统计请求和响应的数量、类型和时间等信息,全面了解数据的使用情况。