API 安全解决方案
Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth
消费者和最终用户继续期待更多动态的 Web 和移动体验,而这种体验是由 API 驱动的。然而,API 的增长越快(有时缺乏安全监督),服务基础设施面临的风险就越大。专为 API 安全而设计的解决方案可以缓解漏洞利用、API 错误、DoS 和 DDoS攻击、API 欺诈以及其他新兴 API 威胁。
优势
As organizations expose more services via APIs, it becomes more important to deploy comprehensive API security and management
最小化攻击面
通过自动化的 API 发现和可见性,获得自己 API 资产的清晰清单
提高 API 性能
监控 API 端点指标,例如延迟、错误和错误率,以及 API 驱动域的响应大小
阻止大规模和业务逻辑滥用
阻止拒绝服务攻击、账号接管尝试和其他 API 滥用行为,以防资源耗尽
防范 API 软件 zero-day 漏洞攻击
利用 AI 驱动的 zero-day 漏洞检测和互联网规模的威胁情报,阻止利用 API 软件最新 zero-day 漏洞的攻击
工作原理
什么是 API 安全?
现代企业使用 API 来支持快速、引人注目的数字体验。然而,由于允许外部对应用程序进行访问,API(目前在 Cloudflare 处理的互联网流量中占一半以上)引入了新的风险。如果安全流程被忽略,更快的持续部署周期将导致问题更加严重。
API 安全防范以 API 为中心的攻击,这些攻击可能暴露应用程序逻辑、破坏应用程序性能、泄露敏感数据或造成其他威胁。与更常见的 Web 应用程序安全服务相比,API 安全解决方案提供更深入的业务上下文、发现方法以及身份认证和授权验证控制。
Shadow APIs
Many organizations lack a complete inventory of their APIs. Such “shadow APIs” can lead to data exposure, unpatched vulnerabilities, lateral movement, and other risks.
Business logic-based fraud
Bot operators can directly attack the APIs behind workflows such as account creation, form fills, and payments to steal credentials and more.
Insecure AI-generated code
The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.
为什么选择 Cloudflare
关键用例
Protect APIs wherever they are hosted — without compromising developer innovation and productivity
缓解 API 滥用
机器人和 DDoS 攻击越来越多地利用 API —— 其受保护力度通常低于 Web 应用程序 —— 来窃取凭据和资金。通过仅允许经验证的合法 API 流量来防止 API 滥用。
KEY CAPABILITIES
One integrated web application and API security platform delivers defense-in-depth for APIs
内置身份认证
阻止来自非法客户端的请求。使用 mTLS证书、JSON Web令牌(JWT)、API 密钥和 OAuth 2.0 令牌对API流量进行身份认证和检查。
检测 API 滥用
确定 API 流量基线,通过每个端点基于会话的速率限制建议和 GraphQL 拒绝服务(DoS)防护来阻止滥用。
模式验证
许多 API 泄露发生是因为模式(定义有效 API 请求/响应的元数据)的限制过于宽松。模式验证阻止格式不正确的请求和 HTTP 异常,仅接受有效的 API 请求。
保护敏感数据
在离开源服务器端的 API 响应中检测是否存在敏感数据,并接收针对每个端点的警报。
