《数据安全法》与API安全加速落地的关系

admin

988
文章

2
评论

2022年1月26日13:04:01 评论

伴随网络安全法律法规体系不断完善优化，相关配套制度相继出台，网络安全标准体系进一步完善，将持续推动需求侧不断增大安全投入，促进网络安全需求加快释放。例如API安全相关产品和解决方案2021年在国内普遍落地，少不了《数据安全法》的推动。API安全厂商星阑科技为我们分析了《数据安全法》与API安全发展之间的关联。

《数据安全法》落地，API数据风控时不我待

随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、人民生活产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。按照党中央决策部署，贯彻总体国家安全观的要求，全国人大常委会积极推动数据安全立法工作。

《数据安全法》是继《网络安全法》提出数据的概念后，我国在数据安全立法层面的又一个重大里程碑，是中国数字经济高速发展的压舱石和定海神针。随着《数据安全法》的出台和落地实施，数据要素安全管控和市场化将同步提升，数据资源将会迸发出更大的活力，数字经济将在“十四五”时期更加蓬勃发展。

《数据安全法》建立了分类分级保护制度，并提出了重要数据、核心数据等概念。其中，重要、核心的判断标准主要是：

1）在经济社会发展中的重要程度；

2）一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度。

《数据安全法》为数据交易制度提供了兼顾安全和发展的原则性规定，有利于在保障安全基础上，促进数据有序流动，激励相关主体参与到数据交易活动中来，充分释放数据红利。

API经济与API生态

随着系统集成和互连变得越来越普遍，应用程序接口（API）在企业数字化转型中扮演了重要角色。它将系统和数据，乃至整个应用背后的复杂生态都紧密连接在了一起，促进了“API经济模式”的形成。然而，业务拓展的开放性需求同数据资源的安全保密需求显然背道而驰，两者的矛盾在API问题上暴露得更加明显。特别在几次重大数据泄露事件发生后，API的安全话题成功引起了人们的关注。

API经济，是指企业通过API建立合作关系而产生的经济活动。这已经不再是一个简单的概念，很多企业已经运用在商业活动之中，通过API粘合更多合作伙伴，扩充企业服务场景，促进企业的转型和升级，甚至重构整个行业的商业价值链。

为提升交付能力，敏捷迭代与DevOps应运而生，软件系统研发流程从流水线作业演化为组件并发生产再集成的形式，随着后端应用组件的解耦以及SOA架构的普及，API逐步成为连接各应用组件的事实标准。

SOA面向服务的架构出现，很多企业开始将跨平台、无状态的API是用来作为系统间创建联系的通道，以消除前期系统建设的信息孤岛，从而降低协同成本，提升利润空间。API开始受到空前的重视，成为各行业中驱动数字化、信息化变革的主要力量。

API经济带来了一种新的商业模式，可以辅助企业以低成本快速响应市场需求，建立企业生态，促使跨产业链的企业能力整合，产生创新出新的经济形式。国内API化程度并不成熟，这也是给我们留下的机会。今后，API开放程度将会成为衡量企业竞争力的核心指标。

《数据安全法》与API安全加速落地的关系

API平台(解决方案)厂商、APM厂商，研发效能厂商、云厂商、安全厂商与新一代API网关厂商构成了API基础设施生态。多年前我曾被一个同事推荐在Chrome中安装过一个专门用来调试API的插件，这个插件就是Postman。如今Postman通过API工具及解决方案连接了开发者、小型团队、企业、公共API网络，构建出自己的增长飞轮，于今年Postman完成D轮融资2.25亿美元，领跑API安全生态。

《数据安全法》与API安全

API作为数据传输的通道，从攻防角度来看，攻击者的目标是企业数据，在主机安全/网络安全日趋成熟的情况下，与其穿透层层内网窃取数据本身（数据库），不如攻破数据的传输管道（API）来的方便。随着API的普及，攻击者可以通过API后端应用漏洞、未授权访问、越权漏洞直接攻击API窃取数据。由于API的高速发展以及业务增速和安全的不对位，导致近两年来API安全问题导致的数据泄露事件频发。

《数据安全法》与API安全加速落地的关系

Postman在超过28000位API研发人员的调查结果显示，企业对于API集成方案的考虑因素中，安全性位于首位，与性能并重。

《数据安全法》与API安全加速落地的关系

API安全是一种用来确保API的设计、开发和维护安全，防止未经授权的访问、篡改或破坏数据的技术。它通过对API通信行为的采集、监控、防御等手段，发现并收敛API生产过程中的风险，拦截针对API的漏洞攻击及数据窃取行为，最终围绕API的设计、开发、测试、运行和下线等阶段构建起API全生命周期的安全管理方案，为万物互联时代的数据交换、大规模分布式架构、云计算、IT数字化改造提供安全保障。此外，随着安全思想不断推陈出新，一些新安全理念（如，零信任）的成果也正在被API安全防护所借鉴。

作为API安全领域创业者，星阑科技认为API安全即为API的全生命周期防护，即围绕API的“设计、开发、运行、下线”等不同阶段建立API全生命周期安全解决方案，解决企业API漏洞入侵、API数据泄露两大问题。

《数据安全法》与API安全加速落地的关系

在以API传递应用能力和数字能力为特征的今天，新经济模式日益繁荣，智慧城市、移动互联网、物联网等为代表的IT数字化转型过程中的数据交换、共享场景是API安全的重点保护对象。

目前，国内的API安全市场尚处于相对早期阶段。厂商的解决方案主要围绕TLS、SSL以及访问控制等技术手段进行防护，其安全实践集中在漏洞防护、身份验证、数据加密、访问控制和流量限制等。由于多样化的攻击手段尚在不断演进当中，API安全亟需更加具有富有弹性的防护方案；同时，人工智能技术和机器学习方法通过对行为模式的经验积累，也将帮助企业更精准地识别安全威胁，发现并阻断API通信中的异常流量。

未来，弹性化和智能化将成为API安全防护技术的主流发展方向。