天融信：探索应用安全的攻防之道，API与Web安全联合构筑防御高墙

2023-07-28 11:15:00 来源：天融信作者：

数字化建设加速向前“奔跑”，Web应用与各行各业深度融合。传统的Web应用安全解决方案往往专注于Web安全侧的威胁防御，随着数据中心化加速了应用与应用之间的连接建设进程，API侧面临的安全防御威胁也日益加剧，Web应用安全防御亟需新的突破。

 

Web API作为Web应用程序编程接口，主要用于不同Web应用间的数据交换和功能调用，通过对调用者数字身份的认证授权，确保合法用户通过API访问来自Web应用的功能和数据。Gartner发布的《Hype Cycle for Application Security,2022》报告中提出，API作为企事业单位数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。API攻击应纳入Web应用安全防护系统之中。

 

天融信 Web+API安全解决方案集合了天融信Web应用防火墙强大的防御能力与天融信API安全防护系统API侧管控与检测能力。应用安全体系的建设不仅需要Web安全防御，也需要从细微的Web API接口杜绝入侵的可能性。

 

1

 

Web安全威胁防御

 

随着应用网站的普及和数字化转型的加速，Web攻击逐渐增多并日益复杂。常见的攻击包括SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、爬虫攻击等。

 

天融信Web应用防火墙作为天融信构建应用安全防护体系的核心防御产品，集预防、处置、恢复整改等功能于一体，专注应对HTTP类网站攻击行为。

 

基于漏洞扫描与虚拟补丁的预防机制，可扫描站点存在的安全风险，并对应生成虚拟补丁，形成预防性的防护规则；

 

基于参数智能学习与规则防护的处置机制，可校验应用站点 服务器 与客户端间交互双向HTTP报文中的安全因素，及时阻断SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等威胁报文；

 

基于数据分析与网页防篡改的恢复整改机制，可在事件发生后回放攻击报文，关注攻击来源，并恢复被篡改的网页数据，为客户提供专业全面的Web安全防护能力。

 

2

 

API侧安全威胁防御

 

Web API作为公开的接口，面临着缺乏强大的认证授权和访问控制机制、API数据传输未加密、输入验证与过滤机制不完善等安全问题。攻击者可通过各种手段窃取敏感数据、未经授权访问应用程序或干扰正常的业务流程。

 

天融信API安全防护系统从API安全评估、安全控制、安全监测、安全响应、安全审计5个维度出发，全面筑牢客户的Web API安全防线。

 

该系统集成了API数据传输加密、API安全防护、安全审计等功能，通过API访问鉴权机制，认证服务提供者可对访问请求进行授权判断，实现API使用者的身份与权限认证。同时，辅以细粒度的访问控制策略，确保用户以最小权限访问所需的资源。

 

天融信应用安全负责人表示，早期的WAF仅融合了简单的XML文档校验，已然无法满足日益严峻的API安全形势。如今，针对Web API的安全防护能力主要集中于API安全网关与WAF产品。应用安全不再局限于Web安全，而是将API安全也纳入了应用安全体系的建设。

 

截至目前，天融信Web+API安全解决方案已在官方、医疗等行业成功落地实践，从Web与API两方面为客户提供全面的应用安全防护能力。此外，天融信Web应用防火墙在2021年与2022年连续两年位居Frost Sullivan大中华区市场占有率排名前列。在权威咨询机构IDC正式发布《IDC Perspective：中国API安全市场洞察，2022》报告中，天融信API安全产品和解决方案凭借深厚的技术能力与实践积累入编此报告，并成为IDC推荐厂商，Web应用防火墙与API安全防护系统的 综合 能力均受到市场的充分肯定。

 

数字化浪潮席卷而来，加强应用安全防护的需求日趋迫切。作为中国领先的 网络安全 、 大数据 与云服务提供商，天融信将持续深耕网络安全领域，为企业提供技术领先的网络安全产品、方案与服务，为千行百业的数字化转型保驾护航，为数字中国建设贡献企业力量。

 

▼

   特别声明    本站部分内容《图·文》来源于国际互联网，仅供参考，不代表本站立场！

本站尊重知识产权，版权归原创所有，本站资讯除非注明原创，否则均为转载或出自网络整理，如发现内容涉及言论、版权问题时，烦请与我们联系，微信号：863274087，我们会及时做删除处理。