API安全模組是Web Application Firewall(Web Application Firewall,簡稱WAF)獨立付費的產品模組。該模組基於內建檢測機制和自訂檢測策略,自動梳理已接入防護的業務的API資產,檢測API風險(例如未授權訪問、敏感性資料過度暴露、內部介面泄露等),通過報表還原API例外狀況事件,審查出境資料和溯源敏感性資料泄露事件,為您提供詳細的風險處理建議和API生命週期管理參考資料,協助您發現和管理業務中存在的全量API介面資產,提升API介面在資料流轉過程中的安全性。本文介紹如何進行使用API安全功能進行防護。
什麼是API安全
在數字經濟時代,商業環境變化迅速,企業對外部環境變化的快速響應提出了更高要求。資料需要流通並分享給第三方,以加快效率。通過API介面實現系統之間的相互連信已成為企業內外部系統整合的重要手段。越來越多的行業客戶通過API開放平台將自身能力和資源開放,以打造產業生態。夥伴可以藉助開放的優質資源進行快速的整合和創新,從而促進API經濟的誕生,實現資料互動產生更多價值。對於企業服務,提供海量的API服務以及資料增值服務成為一項重要工作。然而,隨著API的快速發展,面臨的風險也在同步增加。攻擊者可能在未授權的情況下擷取API介面的存取權限,錯誤配置、非法的API訪問請求可能導致敏感性資料泄漏。因此,Web Application Firewall通過API監測和流量可視化,自動探索和歸類API業務,形成正常的訪問請求模型,一旦發現異常API訪問,便能結合WAF的處置能力形成閉環。
核心價值
API安全提供了自動化的API介面識別、介面風險檢測及異常攻擊檢測能力,可以協助您發現和解決以下幾種核心需求:
檢測發現全量API資產。支援自訂檢測策略,方便您的安全團隊需要掌握業務所有的API,以便進行相應的安全管理。
檢測發現API存在的安全風險,比如未授權訪問、弱口令、介面設計的不安全不規範。
檢測發現針對API介面的攻擊行為,比如竊取敏感性資料、爬取介面資料、帳號爆破、撞庫、簡訊轟炸等介面濫用行為,輔助您對可能造成業務損失的攻擊及時處理。
如何檢測您的API安全狀態
在開通API安全前,您可以通過基礎檢測,查看安全事件總覽、資產總覽和安全事件列表資料,協助您瞭解您的API安全資訊。WAF 3.0訂用帳戶執行個體提供免費且預設開啟的基礎檢測能力。基礎檢測模組基於WAF日誌進行離線分析,頁面展示您API資產統計資料及例外狀況事件統計資料,並展示近10起針對API的異常呼叫事件。
如果您不希望瞭解相關資料,您也可以直接跳過該步驟。
WAF 3.0隨用隨付執行個體暫不支援基礎檢測功能。
該功能的展示資料與檢測結果可能會出現延遲。基礎檢測功能由於檢測能力弱於付費開通的API安全,檢測結果可能會出現差異,請以您的API安全檢測結果為準。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在基礎檢測地區,查看基礎檢測資料。
安全事件總覽:包括API安全事件總數、高危事件數目、中危事件數目和低危事件數目。
資產總數:包括API資產總數、活躍API數、失活API數。
安全事件列表:通過卡片,查看安全事件的名稱、API路徑、網域名稱、攻擊源和產生時間。
基礎檢測功能的相關資料及例外狀況事件資訊,不支援查看詳情。如果您希望查看傳輸敏感性資料API數,或查看安全事件的更多風險詳情和處置建議,您可以開通API安全。
API安全功能介紹
API安全模組基於內建檢測機制和客戶自訂檢測策略,針對已接入WAF的業務流量,識別其中存在的API介面,分析API介面存在的各類安全風險,檢測API在實際應用過程中存在的各類異常調用或攻擊行為,監測敏感性資料跨境流轉、溯源敏感性資料泄露事件,協助您實現全面的API資產管理和安全檢測及防護能力。API安全除概覽頁簽外主要包含四個功能大類:資產管理、風險與事件、安全合規審查與溯源審計以及策略配置。
資產資訊模組支援資產資訊的查詢、統計和管理。
風險與事件統計模組支援風險檢測、安全事件和整體概覽維度資料查詢統計。
如果您的業務需要對非中國內地地區提供資料時,您需要向所在地省級網信部門向國家網信部門申報資料出境安全評估。您可以使用API安全合規審查和溯源審計功能,對出境資料進行審查和溯源。僅中國內地支援。
策略配置支援您在風險檢測、安全事件、敏感性資料、鑒權憑據、業務用途、生命週期管理、生效對象、日誌訂閱等方面配置相關的策略,並更改策略的開啟與禁用狀態。除了預設配置以外,還支援您自主配置自訂策略。
四個功能大類中具體包含了以下七個的功能頁簽。
頁簽名稱 | 功能類目 | 功能簡介 |
概覽 | - | 包含API資產走勢、風險走勢及網站統計、攻擊走勢及網站統計、請求敏感性資料類型統計、響應敏感性資料類型統計圖表。 |
資產管理 | 資產管理 | API安全通過離線分析業務訪問日誌,自動檢測流量中存在的所有API,並支援根據介面特徵,自動識別API業務用途。 |
風險檢測 | 風險與事件 | 檢測API存在的未授權訪問、敏感性資料暴露等各類安全風險,並提供詳細的風險分析及安全處置建議。 |
安全事件 | 風險與事件 | 監控分析API的調用行為,及時發現各類異常訪問或攻擊行為。 |
合規審查 | 安全合規審查與溯源審計 | 依據《資料出境安全評估辦法》,API安全對如下情境的出境資料(包括個人資訊資料、個人敏感資訊資料)進行合規審查,協助您快速識別API資產中存在的資料出境風險:
|
溯源審計 | 安全合規審查與溯源審計 | 當發生敏感性資料安全事件時,API安全支援通過日誌和敏感性資料範例資料,交叉溯源安全事件。 |
策略配置 | 策略配置 | 在內建檢測機制的基礎上,API安全支援自訂符合業務特徵的檢測策略,使得識別出的API資產更符合實際業務情況,進一步提高API安全檢測的準確率與召回率。支援防護對象層級開啟API安全,靈活控制API安全的生效對象。 |
開通API安全服務
準備工作
已開通WAF 3.0服務。具體操作,請參見開通訂用帳戶WAF 3.0、開通隨用隨付WAF 3.0。
雲產品接入(FC)的防護對象暫不支援該功能。
MSE接入時,雲原生網關引擎版本需為2.0.4及以上。
如何開通API安全
API安全所有的計算和分析均離線完成,不會主動探測介面,不會對業務運行產生任何影響。
API安全會檢測符合指定特徵的請求響應的內容,用於判斷API是否存在資料泄露風險。開通API安全,就意味著授權WAF進行相關分析。開通前,請根據實際業務進行評估。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
開通API安全。
開通試用API安全
說明進階版、企業版、旗艦版可免費試用一次API安全。
試用時間長度為開通後的7天內。試用結束後,如果您未開通正式版本,試用期間產生的分析資料將被立即清除。如果您需要保留試用期間的資料,繼續使用API安全,請在試用結束前,開通正式版API安全。
在API安全頁面,單擊申請體驗。按照API安全解決方案試用申請頁面的提示,填寫試用申請資訊並單擊提交。
阿里雲工程師在收到試用申請的一周時間內,將通過提交的連絡方式聯絡您,與您確認試用相關事宜。試用申請審核通過後,您的WAF執行個體會自動開通API安全功能。
開通正式版API安全
在API安全頁面,單擊立即開通。
在立即開通面板,選擇API安全開啟後,單擊立即購買並完成支付。
API安全概覽
在API安全頁面的概覽頁簽,您可以查看您的API資產走勢、風險走勢及風險網站統計、攻擊走勢及受攻擊網站統計、請求敏感性資料類型統計、響應敏感性資料類型統計圖表,如下圖所示。統計周期預設為30天。
支援的查詢與篩選操作
在API資產走勢、風險走勢及攻擊走勢圖中,您可以根據您的資料需求單擊走勢圖下方的屬性,如API資產總數、活躍API數等,篩選您希望展示在走勢圖中的資料。
在風險網站統計、受攻擊網站統計、請求敏感性資料類型統計、響應敏感性資料類型統計表中,支援您對展示的資料進行升序和降序排列的切換。
如果您想查看風險檢測的更多資訊,可以單擊風險網站統計表格右上方的查看更多按鈕,跳轉到對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。
如果您想查看安全事件的更多資訊,可以單擊受攻擊網站統計表格右上方的查看更多按鈕,跳轉到對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。
如果您想查看資產管理的更多資訊,可以單擊請求敏感性資料類型統計表格,或者響應敏感性資料類型統計表格右上方的查看更多按鈕,跳轉對應頁簽查看詳情。您也可以單擊表格內的對應數字跳轉到對應頁面查看該篩選條件下的詳情內容。
相關問題
您可以在CloudMonitor控制台設定API安全事件的監控和警示,使WAF在檢測到高危風險事件時向您發送警示通知,協助您及時掌握API資產的安全狀態。具體操作,請參見設定WAF攻擊事件的監控與警示。
您可以從以下問題瞭解更多關於API安全的能力: