API 安全性解決方案

Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth

消費者和使用者仍然期待更具活力的 Web 和行動體驗，這需要 API 提供支援。然而，API 的增長速度越快（有時缺少安全監督），服務基礎架構所面臨的風險就越大。專門構建的 API 安全性解決方案可以緩解漏洞利用、API 錯誤、DoS 和 DDoS 攻擊、API 詐騙和其他新興 API 威脅。

瞭解更多

優點

As organizations expose more services via APIs, it becomes more important to deploy comprehensive API security and management

最大限度縮小攻擊面

透過自動化 API 探索和可見度，獲得清晰的 API 資產詳細目錄

提高 API 效能

監控 API 端點指標，例如，API 驅動之網域的延遲、錯誤和錯誤率以及回應大小

阻止大規模的商務邏輯濫用

阻止阻斷服務攻擊、帳戶盜用嘗試和其他 API 濫用，以免它們耗盡您的資源

防止 API 軟體零時差攻擊

使用 AI 驅動的 zero-day 漏洞偵測和網際網路規模的威脅情報，在您的 API 軟體中阻止利用最新 zero-day 漏洞的攻擊

運作方式

什麼是 API 安全？

現代企業使用 API 來提供快速且令人歎服的數位體驗。而現在，API 佔 Cloudflare 所處理的網際網路流量的一半以上，這因為允許外部各方存取應用程式而帶來了新的風險。如果忽視安全流程，則更快速的連線部署週期會加劇這一問題。

API 安全性可防範以 API 為中心的攻擊，這些攻擊可能會暴露應用程式邏輯、中斷應用程式效能、顯示敏感性資料並帶來其他威脅。與更常見的 Web 應用程式安全服務相比，API 安全性解決方案可提供更深入的業務環境、探索方法以及驗證和授權驗證控制。

Shadow APIs

Many organizations lack a complete inventory of their APIs. Such “shadow APIs” can lead to data exposure, unpatched vulnerabilities, lateral movement, and other risks.

Business logic-based fraud

Bot operators can directly attack the APIs behind workflows such as account creation, form fills, and payments to steal credentials and more.

Insecure AI-generated code

The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.

選擇 Cloudflare 的原因

關鍵使用案例

Protect APIs wherever they are hosted — without compromising developer innovation and productivity

探索影子 API

如果組織不知道 API 的存在，則無法保護或管理它。透過機器學習和工作階段識別項模型，探索所有 API 端點，包括影子 API。

瞭解更多

緩解 API 濫用

機器人和 DDoS 攻擊越來越多地利用 API 來竊取認證和資金，這是因為 API 受到的保護通常沒有 Web 應用程式多。透過僅允許經過驗證的良性 API 流量來防止 API 濫用。

瞭解更多

偵測資料外洩

組織自有 API 或第三方 API 整合中的漏洞可能會導致未經授權的資料存取。在所有 SaaS 應用程式、Web 應用程式和 API 中整合資料外洩防護。

瞭解更多

追蹤和分析 API 效能

API 錯誤可能表示存在網路攻擊或應用程式效能問題，最終會阻止合法流量。瞭解 API 的真實效能，然後快速採取最適當的動作。

瞭解更多

KEY CAPABILITIES

One integrated web application and API security platform delivers defense-in-depth for APIs

內建驗證

封鎖來自非法用戶端的請求。使用 mTLS 憑證、JSON Web 權杖 (JWT)、API 金鑰和 OAuth 2.0 權杖驗證 API 流量。

偵測 API 濫用

基準化 API 流量、使用每個端點基於工作階段的限速建議阻止濫用，以及 GraphQL 阻斷服務 (DoS) 防護。

結構描述驗證

很多 API 漏洞的發生是因為寬鬆的結構描述（定義有效 API 請求/回應的中繼資料）。結構描述驗證會封鎖格式錯誤的請求和 HTTP 異常，僅接受有效的 API 請求。

保護敏感性資料

在 API 回應內偵測離開伺服器來源的敏感性資料，並在每個端點接收警示。

準備好在不影響安全性的情況下保護 API 了嗎？

比較方案

資源

報告

全球 API 安全性趨勢和預測

閱讀報告

電子書

CISO 的 API 安全性指南

獲取電子書

解決方案簡述

Cloudflare API Shield：管理和保護推動業務發展的 API

取得解決方案簡介

部落格

防禦性 AI：Cloudflare 用於抵禦新一代威脅的架構

閱讀部落格

文章

領先於新型 API 威脅的三種方法

閱讀文章

部落格

保護 GraphQL API 免受惡意查詢影響

閱讀部落格

API 安全性解決方案常見問題集

API 安全性與 Web 應用程式安全性有何不同？

API 具有很多獨特的特性。例如，API 在系統之間交換資料，而 Web 應用程式由終端使用者透過 Web 瀏覽器存取。API 還使用其他格式來傳輸資料，並直接存取後端系統，通常充當現代 Web 應用程式與其後端資料庫和伺服器之間的中繼。由於上述差異以及其他差異，API 安全性與 Web 應用程式安全性的偵測方法不同，甚至在資料隱碼攻擊和存取風險等相重合的漏洞類別中亦是如此。

有哪些常見的 API 安全性方法？

組織在管理所有 API 成長時，可以採取數種不同的方法——完整生命週期 API 管理、API 可觀察性，以及更全面的 Web 應用程式和 API 保護 (WAAP)。API 可觀察性工具可提供對 API 效能（而非安全性）的觀察結果和深入解析。完整生命週期 API 管理通常專注於 API 管理，但在安全性方面不夠精密。依據 Gartner 的定義，WAAP（即 Web 應用程式和保護）是一種安全性解決方案類別，旨在保護 Web 應用程式，而不考量其託管位置。WAAP 最適用於生產環境中的 API、即時監控以及防範濫用、零時差威脅和攻擊者。

如何保護 REST API？

REST API 可讓用戶端從伺服器請求資源，而伺服器會在目前狀態下向用戶端傳回資訊。在 REST API「呼叫和回應」期間，攻擊者隨時可能對 API 發起攻擊。因此，防止 REST API 濫用要求僅授權經過驗證的「良性」API 流量，從而封鎖來自非法用戶端的請求。API 驗證和授權方法包括 mTLS 憑證、JSON Web 權杖、有效的 API 金鑰、OAuth 2.0 權杖等。

如何保護 API 金鑰？

API 存取金鑰將驗證與使用者認證分離，而是將祕密文字字串與 API 請求一起傳送，從而實現更安全的 API 存取。然而，API 金鑰仍然可能面臨中間人攻擊、開發人員使用不當以及原始程式碼中密碼儲存問題的風險。JSON Web 權杖 (JWT) 提供了一個更安全、更靈活的方案來替代靜態 API 金鑰，只要 JWT 使用安全密碼編譯演算法進行簽署，就會避開有效負載中的敏感性資料，並強制執行權杖到期。

如何測試 API 安全性？

不同的指標可以幫助 IT、安全性和應用程式開發利害關係人評估其 API 安全層級。例如，使用可靠 API 安全性模型的組織應該擁有目前 API 資產的詳細目錄（其中表明所有 API 均符合資料標準），並使用增強式驗證或授權方法。此外，組織也應該進行稽核，來識別 API 請求中使用的已暴露/外洩的認證，掃描 API 請求/回應中的個人識別資訊 (PII)、信用卡資料或個人醫療保健資訊。能夠在 API 上設定適應性、智慧型限速（由每個端點的可觀察流量模式確定）也表示擁有更進階的 API 安全性。

有哪些不同的 API 濫用形式？

API 濫用是指透過利用商務邏輯缺陷和應用程式漏洞來惡意利用 API，從而妨礙或惡化真實使用者的使用者體驗。在如今的 API 中，資料暴露、未經授權的動作、安全控制繞過、服務中斷和提高權限頻頻發生，這是因為缺乏驗證和授權控制，這種情況被稱為物件層級授權失效 (BOLA) 和功能層級授權失效 (BFLA)。