API 安全
使用积极的安全模型保护您的 API,该模型可检测漏洞并防止被利用。
清查API服务的挑战在于了解问题的范围
当今的许多 Web 攻击都在不断发展并绕过安全措施,甚至进入不在安全团队视野之下的 API 层级。
-
每个 API 的可见性都是有限的
随着新应用的部署迭代,API 服务变动并不总能被正确记录在OpenAPI (Swagger)文件中,因此安全措施无法保护到它们。
-
实现数据治理是很不容易的
从移动应用到云原生程序,开发人员正在迅速提供对敏感数据的访问。对这些数据的治理迫在眉睫,并且治理范围还需要扩展到访问这些数据的 API服务。
-
当前的安全解决方案不足
公司需要在业务对象级别授权和业务功能级别授权中,结合考量 OWASP API 安全前十大威胁的防御,这样才能正确保护 API 服务。
持续发现 API 服务和实现数据分类。
整体解决方案提供端到端的持续可见性,同时自动收集和识别概述敏感数据的详细数据模式。
-
以 DevOps 一样的速度实现 API 服务发现
API 往往上线迅速,并有可能在没有通知的情况下做变更,正确的解决方案可识别每个 API(公共的、后端的、影子IT和甚至是僵尸API)以及它们何时发生变化。
-
数据分类有助于实现治理
了解通过 API 共享哪些数据,是保持 API 遵循数据隐私合规的第一步。
-
能够阻止高级的攻击,即使看起来和操作行为非常类似于正常访问
攻击的技巧水平其实是参差不齐的,针对应用业务逻辑的高级攻击,能够让机器人在窃取客户数据的同时不触发任何警报。
实现深度的 API 发现和数据分类,不会对开发人员带来任何影响
Imperva 如何帮助自动化实现API服务的保护和清查
