應(yīng)用及API數(shù)據(jù)安全
2020.04.29
在典型的面向互聯(lián)網(wǎng)的應(yīng)用種中����,從一個客戶發(fā)起交易的開始��,你的信息和客戶提交的信息就已經(jīng)通過你的邊界進(jìn)入到系統(tǒng)里面了�。首先處理這個業(yè)務(wù),第一層必須要通過應(yīng)用系統(tǒng)�。那應(yīng)用系統(tǒng)可能會涉及到不同的應(yīng)用調(diào)用。所以在應(yīng)用之間以及應(yīng)用與終端之間��,以及應(yīng)用與后臺數(shù)據(jù)庫之間或者與存儲之間��,數(shù)據(jù)中有很多是流動的存在��,這些流動性會造成很多泄密的點���。即使已知發(fā)生了泄密����,但是也很難去追溯到底是哪個點出了問題的�。所以關(guān)于應(yīng)用跟API數(shù)據(jù)安全保護由此而生���,下面提供一個典型的建議方案:
整體方案分為兩部分,對于外部客戶�,合作伙伴等第三方系統(tǒng)調(diào)用或查詢,偏重于對開放API風(fēng)險的監(jiān)測�����。
l 數(shù)據(jù)流動風(fēng)險異常檢測
l 細(xì)粒度數(shù)據(jù)流動日志記錄
l 特權(quán)賬號行為審計
l 數(shù)據(jù)泄露溯源分析
對于內(nèi)部員工�,內(nèi)部應(yīng)用系統(tǒng)的調(diào)用,偏重于對身份權(quán)限等審計�。
l 統(tǒng)一身份認(rèn)證
l 統(tǒng)一接口權(quán)限管控
l 數(shù)據(jù)動態(tài)脫敏
l 數(shù)據(jù)接口訪問限流
全方位的部署應(yīng)用/API數(shù)據(jù)安全審計方案,可全面的了解企業(yè)應(yīng)用系統(tǒng)中所流動的數(shù)據(jù)的安全風(fēng)險�����。系統(tǒng)內(nèi)置或配置的敏感信息庫結(jié)合對行為基線的智能判斷���,不僅可以實時的對數(shù)據(jù)安全風(fēng)險進(jìn)行預(yù)警,同時也可做到事后溯源����。
