需要云计算吗? 即刻开始体验

API Security

保护所有 API 免遭日益频繁的攻击和数据窃取。

发现并监测所有 API,以抵御威胁

借助 API Security,您可以持续进行 API 发现和实时分析,从而全面监测整个 API 资产。了解如何识别漏洞并分析 API 行为,以在这个快速增长的攻击面中检测攻击并消除风险。

消除常见的安全盲点

发现所有 API 资产

通过持续发现和监控,查找并清点所有 API,包括影子 API、僵尸 API 和恶意 API。

识别易受攻击的 API

通过审核发现攻击者锁定的各种 API 漏洞和错误配置(包括 OWASP 十大 API 安全风险)。

抵御商业逻辑滥用

利用情境洞察信息来识别数据泄露、可疑行为、恶意爬虫程序和 API 攻击等风险。

API Security 的工作原理

发现

发现

生成全面的 API 清单,包括您所拥有的 API 的数量和类型。

测试

测试

在不牺牲速度的情况下,为 CI/CD 管道添加安全性,以便在将 API 投入生产之前保护它们。

检测

检测

利用机器学习推动的自动化检测,识别 API 漏洞和攻击。

响应

响应

通过与您的 WAF、SIEM 和 ITSM 工具集成,打造高级工作流,以修复 API 问题。

API 安全事件会带来哪些影响?

超过 1200 名安全专业人士为您揭示 API 安全事件如何影响其企业的利润、声誉以及带给团队的工作压力。

Gartner® Market Guide for API Protection

提前预防下一个重要的攻击媒介:API 滥用。了解产品功能、供应商、市场方向等相关信息。

Gartner® Market Guide for API Protection

Akamai named an API security Leader, Fast Mover

In an evaluation of 13 different API security vendors, analysts named Akamai a Leader in the marketplace.

Gigaom Radar Report 2024 leader API Security

Akamai named an API security Leader, Fast Mover

In an evaluation of 13 different API security vendors, analysts named Akamai a Leader in the marketplace.

功能

  • 通过与 Akamai CDN 的本地连接评估 API 流量并与您的 API 网关、负载均衡器或 Web 应用程序防火墙 (WAF) 集成
  • 发现与 HTTP、RESTful、GraphQL、SOAP、XML-RPC 和 JSON-RPC API 有关的 API 问题、域名问题以及其他相关问题
  • 识别您的 API 可以访问的敏感数据类型,并跟踪用户对这些 API 的访问
  • 分析 API 的 OWASP 十大 API 安全风险,并按影响优先级排列漏洞,以便进行快速修复分析 API 的 OWASP 十大 API 安全风险,并按影响优先级排列漏洞,以便进行快速修复
  • 通过对业务逻辑、物理网络基础设施和 API 流量的可视化,了解 API 的相关背景信息

  • 持续监控监管要求、行业标准和内部政策的合规情况
  • 使用机器学习识别异常使用情况、API 攻击、数据泄漏、篡改和政策违规情况
  • 实时阻止 API 攻击,并设置高级工作流以加快修复进程并提高安全运营中心 (SOC) 的效率
  • 与现有的 CI/CD 管道完全集成,并自动运行 200 多个模拟恶意流量的测试

常见问题

API Security 是供应商中立的 API 威胁防范解决方案,不需要配合使用其他 Akamai 解决方案。随着 API 攻击变得更加复杂,企业需要新的检测技术和自动响应能力。而 API Security 可以对 Akamai 的安全解决方案形成补充,确保为客户提供全面的防护。 

API Security 和 App & API Protector 是 Akamai 为保护企业安全而提供的两款不同解决方案。

  • App & API Protector 可以针对通过 Akamai Connected Cloud 运行的所有 Web 应用程序和 API,发现并抵御其中的 API 威胁。它能够阻止任何对企业构成潜在威胁的内联流量。
  • API Security 不受平台限制,能够全面发现并监测企业范围内的所有 API 端点。它会对 API 活动进行实时流量分析,并确定应该采取哪些具体措施来抵御新的 API 攻击流量。

在联合部署的情况下,App & API Protector 和 API Security 可以协同工作,帮助您全面、持续地监测所有 API。这样一来,您就能发现、审查、检测和应对所有资产中的 API 问题。更重要的是,API Security 与 App & API Protector 的集成还有助于实现功能强大、操作简便的 API 安全防护。

是的,我们专门构建的 API 测试解决方案旨在全面覆盖 API 相关漏洞。我们的解决方案可以帮助您将 API 安全测试左移并嵌入到每个开发阶段。

API Security 可以监控并保护东西向和南北向流量,检查整个企业中的所有 API 是否存在可能具有安全风险的异常情况。

API Security 可以识别哪些 API 包含个人身份信息 (PII)、内部文档、知识产权等,并自动为这些 API 提供保护。所有流量样本(无论是否可疑)都经过混淆处理并仅供管理员和贡献者查看,从而能够简化您的隐私保护和合规性计划。

API Security 不受平台限制,适用于各类环境(例如,SaaS 环境、混合环境和本地环境),包括那些有多个 CDN、WAF 和网关并且 API 广泛分布在整个企业中(同时具有南北向流量和东西向流量)的复杂环境。API Security 可以让您在整个企业范围内监测 API 行为,而不必考虑是在何处发现的 API。

Akamai API Security 具有原生接口,允许您将 Akamai Connected Cloud 的流量副本无缝发送到 Akamai API Security 进行分析。这种集成直接内置于 API Security 和 Akamai Connected Cloud 中,消除了延迟并降低了风险。此原生接口可自动发现和跟踪 Akamai 托管环境中的 API,帮助检测漏洞,并允许客户在边缘阻止攻击者的攻击。

API Security 涵盖了所有的 OWASP 十大 API 安全漏洞

客户案例

API Security 应用场景

了解 Akamai API Security 如何从多个方面保护您的数字业务及数据。

在将 API 投入生产环境之前对其进行测试

在将 API 投入生产环境之前对其进行测试

API 测试对于您的 API 安全策略来说至关重要,因为它可以帮助企业进行“左移”——在软件开发生命周期 (SDLC) 的早期阶段,API 进入生产环境之前,检测并修复业务逻辑滥用等漏洞。

有了 API 测试,您可以自动运行 150 多项可模拟恶意流量的动态测试,包括针对 OWASP 十大 API 安全风险的测试。在开发的任意阶段,您都可以将测试安排为按所需的时间间隔自动运行。

获取企业范围内 API 的清单

获取企业范围内 API 的清单

保留整个企业内所有 API 的完整清单并且持续更新这份清单对于有效的 API 安全策略来说至关重要。鉴于与 API 攻击相关的风险日益加剧,只在需要时发现或每日发现 API 已经远远不够。此外,要让来自安全、开发和运营团队的主要团队成员了解 API 是如何被利用或滥用的,就必须要监测实际 API 行为(API 调用)。这可促进企业团队之间的沟通,便于开展调查。

API Security 支持自动持续发现各种技术环境和基础架构中的 API。它还可以识别新部署的 API,并将此类 API 的属性与任何现有文档进行比较。API Security 可检测出经常被忽视的影子 API 和已知的 API 漏洞,如 OWASP 十大 API 安全风险》。 

API 发现是一个持续的过程,我们会通过持续监控,全年无休地发现新增 API 以及对现有 API 的更改。安全团队能够充分掌握所有 API 的情况,并且第一时间获悉开发人员部署的新 API 或服务。

了解 API 风险状况

了解 API 风险状况

API 可增强企业推出的每一款数字产品和服务的功能。因此,API 的范围和规模不断扩大也不足为奇。但这种增长会导致 API 蔓延,进而改变您的攻击面。

如今的攻击者会寻找 API 漏洞,包括软件错误或配置错误,他们利用这些漏洞:

  • 访问敏感的应用程序功能
  • 查找、泄露和/或窃取敏感数据
  • 恶意滥用 API

OWASP 十大 API 安全风险 提供了一份有帮助的汇总清单,汇总了一些经常被利用的 API 漏洞和威胁,企业应尝试识别并解决这些漏洞和威胁。

借助 API Security,您可以将潜在风险、配置错误和漏洞及时通知安全、开发和 API 团队,从而防止攻击者利用易受攻击的 API 和配置错误的 API 向您的企业发起 API 攻击。您还可以轻松确定合作伙伴是否错误设置了您的 API,或者代码中是否存在漏洞。

情境告警和条件告警在您现有的工作流中无缝运作,例如通过自动创建 Jira 工作单,让您可以快速解决任何问题。

监控 API 滥用

监控 API 滥用

API 设计为以编程方式使用,这使得区分合法使用与攻击和滥用十分困难。

尽管 API 攻击的手段各异,但一些最常见的手段包括:

  • 业务逻辑滥用。 业务逻辑攻击利用应用程序设计或实施的缺陷来引发有益于攻击者的意外行为和未经批准的行为。
  • 未经授权的数据访问。 这种常见的攻击方法会利用受损的身份验证和授权机制的漏洞,访问受限数据。
  • 帐户接管。 帐户接管依赖于凭据盗窃或跨站点脚本攻击,通过伪装成合法用户来利用 API。
  • 数据抓取。 恶意攻击者可能通过频繁查询公开可用的资源,大规模获取大量有价值的数据集。
  • 商业拒绝服务 (DoS) 攻击。 不受限制的 API 调用可能会导致“服务侵蚀”或在应用层完全拒绝服务。

检测和抵御这些以及其他潜在的 API 安全风险,需要将专门的 API 安全解决方案中的高级控制措施作为更广泛的应用程序安全策略的一部分来使用。

倾听我们 API 安全专家的真知灼见

参加我们的“If Your APIs Could Talk”月度系列网络研讨会,我们将在 API 安全的技术层面上进行深入探讨。

资源

了解 API Security 的关键功能

通过实践范例来了解哪些 API Security 功能可帮助您抵御攻击,包括:

  • 发现和监控: 利用我们的全天候监控系统可即时检测威胁并做出响应
  • 告警: 调查风险状况和运行时告警的处理方式
  • 轻松集成: 无论复杂性如何,都能够与您的现有技术堆栈进行无缝集成

只需两步即可预约演示:

  1. 提交表格
  2. 与我们的团队预约时间

感谢您的申请!Akamai 专家将尽快与您联系。