API 安全解决方案

Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth

消费者和最终用户继续期待更多动态的 Web 和移动体验，而这种体验是由 API 驱动的。然而，API 的增长越快（有时缺乏安全监督），服务基础设施面临的风险就越大。专为 API 安全而设计的解决方案可以缓解漏洞利用、API 错误、DoS 和 DDoS攻击、API 欺诈以及其他新兴 API 威胁。

了解更多

优势

随着组织通过 API 暴露更多服务，部署全面的 API 安全和管理变得更加重要

最小化攻击面

通过自动化的 API 发现和可见性，获得自己 API 资产的清晰清单

提高 API 性能

监控 API 端点指标，例如延迟、错误和错误率，以及 API 驱动域的响应大小

阻止大规模和业务逻辑滥用

阻止拒绝服务攻击、账号接管尝试和其他 API 滥用行为，以防资源耗尽

防范 API 软件 zero-day 漏洞攻击

利用 AI 驱动的 zero-day 漏洞检测和互联网规模的威胁情报，阻止利用 API 软件最新 zero-day 漏洞的攻击

工作原理

什么是 API 安全？

现代企业使用 API 来支持快速、引人注目的数字体验。然而，由于允许外部对应用程序进行访问，API（目前在 Cloudflare 处理的互联网流量中占一半以上）引入了新的风险。如果安全流程被忽略，更快的持续部署周期将导致问题更加严重。

API 安全防范以 API 为中心的攻击，这些攻击可能暴露应用程序逻辑、破坏应用程序性能、泄露敏感数据或造成其他威胁。与更常见的 Web 应用程序安全服务相比，API 安全解决方案提供更深入的业务上下文、发现方法以及身份认证和授权验证控制。

影子 API

许多组织没有掌握自己 API 的完整清单。这种“影子 API”可能导致数据泄露、未修补的漏洞、横向移动和其他风险。

基于业务逻辑的欺诈

机器人操作者可以直接攻击账户创建、表单填写和支付等工作流程背后的 API，以窃取凭据等信息。

不安全的人工智能生成代码

The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.

为什么选择 Cloudflare

关键用例

保护托管在任何地方的 API —— 而不影响开发人员的创新和生产力

发现影子 API

如果组织不知道一个 API 存在，就无法保护或管理它。通过机器学习和会话标识符模型，发现所有 API 端点，包括影子 API。

了解更多

缓解 API 滥用

机器人和 DDoS 攻击越来越多地利用 API —— 其受保护力度通常低于 Web 应用程序 —— 来窃取凭据和资金。通过仅允许经验证的合法 API 流量来防止 API 滥用。

了解更多

检测数据泄露

组织自身 API 或第三方 API 集成中的漏洞可能导致未经授权的数据访问。整合跨所有 SaaS 应用程序、Web 应用程序和 API 的数据泄露防护。

了解更多

跟踪并分析 API 性能

API 错误可能预示着网络攻击或应用程序性能问题，最终阻止合法流量。了解 API 的真实性能，然后迅速采取最合适的行动。

了解更多

主要功能

一个集成的 Web 应用程序和 API 安全平台为 API 提供纵深防御

内置身份认证

阻止来自非法客户端的请求。使用 mTLS证书、JSON Web令牌(JWT)、API 密钥和 OAuth 2.0 令牌对API流量进行身份认证和检查。

检测 API 滥用

确定 API 流量基线，通过每个端点基于会话的速率限制建议和 GraphQL 拒绝服务(DoS)防护来阻止滥用。

模式验证

许多 API 泄露发生是因为模式（定义有效 API 请求/响应的元数据）的限制过于宽松。模式验证阻止格式不正确的请求和 HTTP 异常，仅接受有效的 API 请求。

保护敏感数据

在离开源服务器端的 API 响应中检测是否存在敏感数据，并接收针对每个端点的警报。

准备好在不影响创新的前提下保护 API 了吗？

比较各项计划

资源

报告

全球 API 安全趋势和预测

阅读报告

电子书

CISO 的 API 安全指南

获取电子书

解決方案简述

Cloudflare API Shield：管理和保护驱动业务的 API

获取解决方案简介

博客

Defensive AI：Cloudflare 用于防御下一代威胁的框架

阅读博客

文章

领先于最新 API 威胁的三种方法

阅读文章

博客

保护 GraphQL API 以防恶意查询

阅读博客

API 安全解决方案 FAQ

API 安全和 Web 应用程序安全有何不同？

由于多种特性，API 更为独特。例如，API 在系统之间交换数据，而 Web 应用程序由最终用户通过 Web 浏览器访问。API 还使用不同的格式来传输数据，并直接访问后端系统，通常充当现代 Web 应用程序与其后端数据库和服务器之间的中介。由于以上和其他差异，针对 API 安全的检测方法不同于 Web 应用程序安全，包括在重合的漏洞类别中，例如注入攻击和访问风险。

常见的 API 安全方法有哪些？

企业和组织管理所有 API 增长有几种不同方法 —— 全生命周期 API 管理，API 可观察性，以及更全面的 Web 应用程序和保护(WAAP)。API 可观察性工具提供对 API 性能（而不是安全性）的观察和洞察。全生命周期 API 管理通常侧重于 API 管理，但在安全性方面缺乏复杂性。Gartner 将 WAAP（Web 应用程序和保护）定义为安全解决方案的一个类别，旨在保护 Web 应用程序，无论其托管在哪里。WAAP 最适用于生产中的 API，实时监控，防范滥用、zero-day 威胁和攻击。

如何保护 REST API？

REST API 允许客户端从服务器请求资源，服务器将当前状态的信息返回给客户端。攻击者可以在 REST API “请求和响应”过程中的任何节点瞄准 API。因此，防止 REST API 被滥用要求仅授权经过身份认证的“良好” API 流量，以阻止来自非法客户端的请求。API 的身份认证和授权方法包括 mTLS 证书、JSON Web 令牌、有效的 API 密钥、OAuth 2.0 令牌等等。

如何保护 API 密钥？

API 访问密钥将身份认证与用户凭据分离，随 API 请求发送秘密文本字符串，从而更安全地访问 API。然而，API 密钥仍然可能面临中间人攻击、开发人员不当使用以及在源代码中存储秘密的风险。JSON Web 令牌(JWT) 提供了一种比静态 API 密钥更安全和灵活的替代方案，只要 JWT 使用安全的加密算法进行签名。JWT 避免在负载中包含敏感数据，并执行令牌过期。

如何测试 API 安全性？

不同的指标可以帮助 IT、安全和应用开发利益相关者评估其 API 的安全水平。例如，一个拥有强健 API 安全模型的组织应该拥有一个当前 API 资产的清单，显示所有 API 都符合数据标准，并使用强大的身份认证或授权方法。组织还应当进行审计，以识别在 API 请求中使用的暴露/泄露凭据，并扫描 API 请求/响应中的个人可识别信息(PII)、信用卡数据或个人医疗保健信息。根据每个端点上可观察到的流量模式设置自适应、智能的 API 速率限制这一能力也标志着更高级的 API 安全性。

API 滥用有哪些不同形式？

API 滥用是指通过利用业务逻辑缺陷和应用程序漏洞对 API 进行恶意利用，从而破坏或恶化真实用户的用户体验。在当今的 API 中，最常见的问题是由于缺乏身份认证和授权控制，导致数据暴露、未经授权的操作、安全控制绕过、服务中断和权限提升，这种情况被称为失效的对象级授权(BOLA)和失效的函数级授权(BFLA)。