API安全模块是Web应用防火墙(Web Application Firewall,简称WAF)独立付费的产品模块。该模块基于内置检测机制和自定义检测策略,自动梳理已接入防护的业务的API资产,检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),通过报表还原API异常事件,审查出境数据和溯源敏感数据泄露事件,为您提供详细的风险处理建议和API生命周期管理参考数据,帮助您发现和管理业务中存在的全量API接口资产,提升API接口在数据流转过程中的安全性。本文介绍如何进行使用API安全功能进行防护。
什么是API安全
在数字经济时代,商业环境变化迅速,企业对外部环境变化的快速响应提出了更高要求。数据需要流通并分享给第三方,以加快效率。通过API接口实现系统之间的相互通信已成为企业内外部系统集成的重要手段。越来越多的行业客户通过API开放平台将自身能力和资源开放,以打造产业生态。合作伙伴可以借助开放的优质资源进行快速的集成和创新,从而促进API经济的诞生,实现数据交互产生更多价值。对于企业服务,提供海量的API服务以及数据增值服务成为一项重要工作。然而,随着API的快速发展,面临的风险也在同步增加。攻击者可能在未授权的情况下获取API接口的访问权限,错误配置、非法的API访问请求可能导致敏感数据泄漏。因此,Web应用防火墙通过API监测和流量可视化,自动发现和归类API业务,形成正常的访问请求模型,一旦发现异常API访问,便能结合WAF的处置能力形成闭环。
核心价值
API安全提供了自动化的API接口识别、接口风险检测及异常攻击检测能力,可以帮助您发现和解决以下几种核心需求:
检测发现全量API资产。支持自定义检测策略,方便您的安全团队需要掌握业务所有的API,以便进行相应的安全管理。
检测发现API存在的安全风险,比如未授权访问、弱口令、接口设计的不安全不规范。
检测发现针对API接口的攻击行为,比如窃取敏感数据、爬取接口数据、账号爆破、撞库、短信轰炸等接口滥用行为,辅助您对可能造成业务损失的攻击及时处理。
如何检测您的API安全状态
在开通API安全前,您可以通过基础检测,查看安全事件总览、资产总览和安全事件列表数据,帮助您了解您的API安全信息。WAF 3.0包年包月实例提供免费且默认开启的基础检测能力。基础检测模块基于WAF日志进行离线分析,页面展示您API资产统计数据及异常事件统计数据,并展示近10起针对API的异常调用事件。
如果您不希望了解相关数据,您也可以直接跳过该步骤。
WAF 3.0按量付费实例暂不支持基础检测功能。
该功能的展示数据与检测结果可能会出现延迟。基础检测功能由于检测能力弱于付费开通的API安全,检测结果可能会出现差异,请以您的API安全检测结果为准。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在基础检测区域,查看基础检测数据。
安全事件总览:包括API安全事件总数、高危事件数、中危事件数和低危事件数。
资产总数:包括API资产总数、活跃API数、失活API数。
安全事件列表:通过卡片,查看安全事件的名称、API路径、域名、攻击源和产生时间。
基础检测功能的相关数据及异常事件信息,不支持查看详情。如果您希望查看传输敏感数据API数,或查看安全事件的更多风险详情和处置建议,您可以开通API安全。
API安全功能介绍
API安全模块基于内置检测机制和客户自定义检测策略,针对已接入WAF的业务流量,识别其中存在的API接口,分析API接口存在的各类安全风险,检测API在实际应用过程中存在的各类异常调用或攻击行为,监测敏感数据跨境流转、溯源敏感数据泄露事件,帮助您实现全面的API资产管理和安全检测及防护能力。API安全除概览页签外主要包含四个功能大类:资产管理、风险与事件、安全合规审查与溯源审计以及策略配置。
资产信息模块支持资产信息的查询、统计和管理。
风险与事件统计模块支持风险检测、安全事件和整体概览维度的数据查询统计。
如果您的业务需要对非中国内地地域提供数据时,您需要向所在地省级网信部门向国家网信部门申报数据出境安全评估。您可以使用API安全合规审查和溯源审计功能,对出境数据进行审查和溯源。仅中国内地支持。
策略配置支持您在风险检测、安全事件、敏感数据、鉴权凭据、业务用途、生命周期管理、生效对象、日志订阅等方面配置相关的策略,并更改策略的开启与禁用状态。除了默认配置以外,还支持您自主配置自定义策略。
四个功能大类中具体包含了以下七个的功能页签。
页签名称 | 功能类目 | 功能简介 |
概览 | - | 包含API资产走势、风险走势及站点统计、攻击走势及站点统计、请求敏感数据类型统计、响应敏感数据类型统计图表。 |
资产管理 | 资产管理 | API安全通过离线分析业务访问日志,自动检测流量中存在的所有API,并支持根据接口特征,自动识别API业务用途。 |
风险检测 | 风险与事件 | 检测API存在的未授权访问、敏感数据暴露等各类安全风险,并提供详细的风险分析及安全处置建议。 |
安全事件 | 风险与事件 | 监控分析API的调用行为,及时发现各类异常访问或攻击行为。 |
合规审查 | 安全合规审查与溯源审计 | 依据《数据出境安全评估办法》,API安全对如下场景的出境数据(包括个人信息数据、个人敏感信息数据)进行合规审查,帮助您快速识别API资产中存在的数据出境风险:
|
溯源审计 | 安全合规审查与溯源审计 | 当发生敏感数据安全事件时,API安全支持通过日志和敏感数据样例数据,交叉溯源安全事件。 |
策略配置 | 策略配置 | 在内置检测机制的基础上,API安全支持自定义符合业务特征的检测策略,使得识别出的API资产更符合实际业务情况,进一步提高API安全检测的准确率与召回率。支持防护对象级别开启API安全,灵活控制API安全的生效对象。 |
开通API安全服务
准备工作
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
云产品接入(MSE、FC)的防护对象暂不支持该功能。
如何开通API安全
API安全所有的计算和分析均离线完成,不会主动探测接口,不会对业务运行产生任何影响。
API安全会检测符合指定特征的请求响应的内容,用于判断API是否存在数据泄露风险。开通API安全,就意味着授权WAF进行相关分析。开通前,请根据实际业务进行评估。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
开通API安全。
开通试用API安全
说明每个阿里云账号可免费试用一次API安全。
试用时长为开通后的7天内。试用结束后,如果您未开通正式版本,试用期间生成的分析数据将被立即清除。如果您需要保留试用期间的数据,继续使用API安全,请在试用结束前,开通正式版API安全。
在API安全页面,单击申请体验。按照API安全解决方案试用申请页面的提示,填写试用申请信息并单击提交。
阿里云工程师在收到试用申请的一周时间内,将通过提交的联系方式联系您,与您确认试用相关事宜。试用申请审核通过后,您的WAF实例会自动开通API安全功能。
开通正式版API安全
在API安全页面,单击立即开通。
在立即开通面板,选择API安全开启后,单击立即购买并完成支付。
API安全概览
在API安全页面的概览页签,您可以查看您的API资产走势、风险走势及风险站点统计、攻击走势及受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计图表,如下图所示。统计周期默认为30天。
支持的查询与筛选操作
在API资产走势、风险走势及攻击走势图中,您可以根据您的数据需求单击走势图下方的属性,如API资产总数、活跃API数等,筛选您希望展示在走势图中的数据。
在风险站点统计、受攻击站点统计、请求敏感数据类型统计、响应敏感数据类型统计表中,支持您对展示的数据进行升序和降序排列的切换。
如果您想查看风险检测的更多信息,可以单击风险站点统计表格右上角的查看更多按钮,跳转到对应页签查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。
如果您想查看安全事件的更多信息,可以单击受攻击站点统计表格右上角的查看更多按钮,跳转到对应页签查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。
如果您想查看资产管理的更多信息,可以单击请求敏感数据类型统计表格,或者响应敏感数据类型统计表格右上角的查看更多按钮,跳转对应页签查看详情。您也可以单击表格内的对应数字跳转到对应页面查看该筛选条件下的详情内容。
相关问题
您可以在云监控控制台设置API安全事件的监控和告警,使WAF在检测到高危风险事件时向您发送告警通知,帮助您及时掌握API资产的安全状态。具体操作,请参见设置WAF攻击事件的监控与告警。
您可以从以下问题了解更多关于API安全的能力: