API技术的“前世今生”
API(Application Programming Interface)应用编程接口是伴随着计算机程序设计技术与软件工程发展起来的基础概念,最早的设计以提升系统与应用程序的开放性集成与扩展性能力为主;随着现代面向服务的架构、云计算技术广泛采用与应用开发模式升级,API现在被广泛用于定义与提供集成业务应用与服务,并且具备了内外部数据传输能力。API技术自身的REST架构化风格发展(Representational State Transfer,表述性状态转移)其核心是为了更直观、便捷的获取、操作、传输数据资源。
数字经济时代、企业数字化转型过程中,数据资产的比重与价值得到迅速提升,API成为数据价值开发利用环节最重要的媒介之一, 企业的核心业务逻辑与敏感数据开始“API化”,并推动着技术与业务服务模式创新。例如,在金融科技领域,浦发银行于2018年7月推出了业内首个API Bank无界开放银行,通过API架构驱动,塑造全新银行业务模式。
在技术与商业价值等多重驱动下,API应用焕发了前所未有的活力。据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次;仅2021年通过Postman平台的API通信遍布全球234个不同国家,较同期增长56%。API已经几乎在全世界被开发和调用。
API数据安全形势与监管合规要求
与此同时,伴随着API商业价值与自身承载业务与数据交互能力的不断跃升,安全形势变得愈发严峻。相对传统安全隔离与纵深防护的体系,利用API“绿色通道”进行商业机密与个人信息数据窃取等网络攻击,攻击路径、成本显著降低,因此针对API的网络攻击迅速受到内外部威胁的“青睐”而成为首选目标。 根据Gartner此前的预测:“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年,API安全问题引起的数据泄露风险将翻倍。”来自国内永安在线API安全研究报告,仅2022年第一季度共监测到640余起数据泄露事件,涉及企业200余家,并显示出逐月明显上涨的趋势。
流动型数据保护的合规要求
API承载的数据是最典型的流动型数据或动态数据(Data in Motion)。内外部业务应用与服务通过API提供数据能力,多数应用系统基于 HTTP/HTTPS 协议对外提供服务,数据使用者涵盖了内部用户和外部客户,涉及大量的结构化及非结构数据的交互,数据在应用流转的过程中,极其可能出现敏感数据暴露面扩大、存在保密数据不正当扩散的风险。
近年法律法规监管趋势逐渐以数据或者是明确重点数据保护目录、建设数据安全治理体系建设、推动社会协同治理为中心。《数据安全法》明确数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,要求明确数据的形态、类型;强调数据分类分级以及针对数据差异化保护的要求 ,要求采取必要措施,保障数据得到有效保护和合法利用。国家与重点行业标准与政策则进一步围绕行业相关的重点数据生命周期安全与分类分级保护提供规范指引,例如《工业和信息化领域数据安全管理办法(征求意见稿)》要求“传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。”中国人民银行发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界,应使用API防护技术”,要求“对API数据的外发与回传进行审计”,在通过API接口方式向特定平台提供数据的数据应用交换场景中要求使用脱敏等数据安全技术。
API数据安全保护:
产品与关键能力要求
✅ API安全与API数据安全
API自身安全不等于API的数据安全,也不是本文关注的焦点。API安全是一个更全面、复杂的体系,但这种体系更多依然是围绕面向已知网络威胁、攻防对抗的逻辑;安全能力直接依赖于API资源与缺陷管理、访问控制、身份认证、授权等技术控制与安全实践。全球知名Web应用程序安全项目的非盈利基金会(OWASP)发布的十大API安全风险中,与数据泄露、过度暴露有关等风险过去几年一直位居前三。
在当前安全形势下,网络黑产活动猖獗、数据经济利益驱动的网络攻击比例远高于其他目的,每一项API安全问题最终都会直接或间接导致安全屏障失效与数据泄露风险。
✅ API数据安全:产品与技术
API安全建设与SDLC(软件开发生命周期) API设计与实现环节相关,并要建立全生命周期API管理流程与技术机制,这个过程不能忽略对于以数据为中心的安全能力的建设。
通过安全技术识别与防护API安全风险依然很重要,但需要不断引入发展的数据安全技术与能力才能真正提升API的数据安全能力。在技术与产品能力评估方面,有以下关键发现与建议:
✅ 1
采用API资产管理、API网关、API安全治理类产品,可以提升 API生产消费整个业务流程安全,但数据内容安全能力可能不足。API安全关键能力包括API威胁情报(黑产/溯源)、攻击防护、API接口梳理与监控(生命周期管理)、API访问策略管理与控制等。国内API安全厂商针对目前数据安全形势与合规要求,开始提供部分数据安全能力,包括API数据泄露检测、数据动态、脱敏防护等功能,这部分能力目前来看以敏感信息特征与静态规则(关键字与正则表达式)、结构化与半结构化(如JSON/XML)数据为主。然而,一旦脱离业务应用及数据库边界,大量静态结构化数据开始转变为流动中的非结构化数据被消费,API应用更加速了这个过程转换。按照IDC的预测,到2025年,超过 80% 的数据都会是处理难度较大的非结构化数据。
✅ 2
API数据安全不能也不应该脱离企业统一的数据安全治理体系。首先API作为敏感数据资产的一个重要媒介与开发利用通道,API的数据安全不应该作为独立的安全领域独立规划建设,而应该同样纳入到企业整体的数据安全建设体系中,与企业覆盖全IT体系的数据安全能力如网络、邮件、端点、移动与业务应用遵从一致性的数据分类分级安全保护与处置策略以及共享统一的数据安全风险管理视图。
✅ 3
应该结合数据安全建设实践,引入新的数据安全技术与部署模式,灵活支撑API业务数据安全不同的场景。首先,在API网关、管控类技术梳理API资产与风险的基础上,提升应用识别与数据可视能力。Gartner在最新的十大安全项目建设(Gartner 2020-2021 Top Security Projects)中,针对API安全, 建议“引入CASB技术进行云应用发现,识别影子IT,然后可以考虑(结合SWG技术)部署正向/反向代理和API来实施控制。对CASB而言,发现并保护云中的敏感数据至关重要,并且最好采取跟本地一致的敏感数据防护策略。”