HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

对培育市场创新来说,安全管理 API 技术至关重要

  • 2014-01-27
  • 本文字数:2699 字

    阅读完需:约 9 分钟

Web Services 是一种以 API 为基础的相对标准的方法。API 直接连接底层数据,以便某个公司网站、应用或内部系统的能力,能够被另一家公司或多个实体访问和使用。这种方法依据实时创新的概念,提供了杰出的市场投放速度,但它需要在如何保护和管理 API 方面采用全新的标准,被具备在 B2B 企业网关层面进行组织机构间通讯的特质。

APIs 如何支持业务模式创新?最显而易见的方法是利用成熟 API 平台的 Mashup 来实现(例如 Google 地图和基于位置的服务)。另外,或许还有不那么明显的方法,支持企业创建少量超级 API(uber-APIs),以便让企业级应用执行全新的功能,例如通过新渠道扩展市场覆盖。由企业级 API 衍生出的 Mashup 中,最知名的两个例子是 Salesforce.com 和 DocuSign。

无论何种情况下,在各个技术平台和领域实体中对 API 进行管理、治理和安全保护,都必须遵循基本相同的策略,而且必须考虑与相应应用通信相关的连通性和传输协议。当组织机构需要通过云或移动平台分享应用和数据的时候,API 的好处就愈加显著了。然而,在公共 / 私有云环境中通过 API 调用公司数据,却又未能在恰当的地方对身份、访问、漏洞和风险进行合适地管理,将会把这些数据源暴露给潜在的威胁(参考如何使用统一服务网关来管理和保护API 。)

以下是一些技术驱动创新的例子,它们都要求最严格的自动化API 安全性和遵从性标准:

零售市场服务:近场通信(NFC)让智能手机能够通过RFID 与物理产品进行交互。例如,可口可乐可以在飞机上的过道中生成一份奖励券,发放给某位点击智能手机上NFC 功能的消费者。对这种交互进行个性化定制的能力,依赖于顾客资料的许可和安全认证——该案例以及其他许多NFC 功能都将通过安全管理的API 来实现;此外,零售渠道中部署的NFC API 将需要遵循支付卡行业数据安全标准(PCI DSS)。

数字视频服务:WebRTC(实时通信)是W3C 开发的一套新兴开源视频标准。WebRTC 让浏览器应用能够在相互之间进行视频聊天、语音通话和点对点文件共享,而无需使用第三方媒体播放器或插件。这些视频应用对已有的实时协作和通信标准(例如WebEx 和Windows 媒体播放器)造成了威胁;另外,它们所要求的安全传输和认证由API 负责完成。对基于会议的应用来说,API 将必须支持经过恰当授权的使用和复用、通过职责分割实现的特许执行通信,以及实时代码控制。

电子医疗记录服务:源自政府要求和业务需求的EMR 广为世人所知晓;而把医疗数据普遍进行数字化,还将为基于API 的服务创造机遇。例如,API 能够与个人医疗档案交互,以提升医疗服务的业务和服务。例如,一个排程应用,将把病人的个人医疗需求与可用的服务和专家进行匹配;或者一个SMS 应用,将提醒病人查看新的信息或是检查结果已生成。与EMR 交互的API 必须遵循数据隐私和法规要求的最高标准。

金融云服务:现在,60% 以上的证券和商品交易都包含被称为高频交易(HFT)的部分;对这个行业来说,依据交易量、成功算法、按量定价和比较分析,得到的分析数据是宝贵的信息集。例如,一家规模庞大的机构中,可能有多达1 万名专业员工在使用HFT 技术,这就要求同一时刻对同一数据的可见性(能够同时访问相同数据)。这一类型的数据即服务平台的终极价值,是对未来交易机会的模型风险管理分析。因此API 必须像其他金融调控技术一样,能够有效地保护底层数据。

数据分享加密服务:在中端市场和大型企业中不断增长的趋势之一,是将其IT 基础设施的特定部分交给一家公有云服务提供者,例如亚马逊Web 服务(AWS)。企业计算、存储和网络集群与亚马逊弹性云(EC2)之间的交互,是通过企业与EC2 各自API 之间进行通信来完成的。然而,底层拓扑存储往往采用Hadoop 这样的开放标准,因此并不总是与某个企业自有的数据存储或数据运动标准一致。为此,企业API 网关需要在云端协调适当可接受的使用方法和数据加密标准,就像该服务是由企业自身代理的一样。

API 业务敏捷度是管理和安全两方面都会涉及的问题。API 管理者必须考虑可以将多少 API 治理自动化,以减少潜在的编码错误。另一方面,安全性问题与治理政策、数据保护和遵从性相关,依从所有必要的缓和措施,以实现最优的业务敏捷度。(想要进一步了解深度分析,请参阅现实中的 API 管理与挑战

数据保护:开发者使用 API 对公司文件进行的访问如果未经授权,那么就将会带来破坏数据完整性的危险。不管这种行为出自恶意还是偶然,一旦有人通过某个 API 访问公司数据,都有可能造成该数据的变更,从而造成企业在金融交易等数据完整性方面的审计违规。

合规遵守情况:让我们看一个来自某全球制造商的例子。该制造商开发了一套订购系统,并信任该系统把收到的客户订单数额报告给第三方应用开发者。这样,该制造商就把自己的财务报表准确性置于潜在的危险之中。在小“c”方面——对内部控制和 API 治理的合规性——公司面对这样的风险:其 ERP 系统或许受到侵害,进而影响数据完整性和可用性。在大“C”方面(外部压力的合规性),订购系统缺乏控制和 API 治理,将会导致公司违反萨班斯法案——该法案针对内部控制,旨在确保财务审计的准确性。

风险缓解:让我们继续以上面的全球制造商为例,对于谁能够访问后端 ERP 系统以及正在运行的 API 版本是否正确的不确定性,将会对内部控制造成严重破坏。例如,如果某个分销商能够通过 API 访问采购订单并变更其日期——在内部控制中,理论上来说这是严格禁止的行为——那么控制就是有缺陷的。同样的风险会在这个控制过程中展现它自己。缺乏恰当治理的 API,将破坏税务数据的完整性。

因此,恰当地治理,涉及到开发一系列 API 控制对象——它们基于生命周期和相关因素,例如关键的利益干系人涉及到业务和 IT 的角色(就像用于服务的 ITIL 和用于流程的 COBIT)。任何接触 API 并受制于合规设计的流程,例如内部或数据隐私控制,应该满足以下三条关键的治理目标:

  1. 应该对 API 生命周期进行控制,这样只有得到许可的版本才会进入到产品中:在规划阶段,开发和测试阶段,转化为产品并最终退出市场。
  2. 关键的利益干系人,例如业务线主管、IT 经理、信息安全官和合规审计师都应该能够动态地看到 API 的当前状态。应该永远确保他们看到的,是处于恰当的生命周期环境中的正确的版本。
  3. 应该基于验证和授权流程对 API 进行控制,以保护企业 IT 资产,避免误用、对可用性的威胁或是侵犯隐私等问题,并确保监控和节流的治理任务能够得到履行。

关于作者

Atchison Frazer是一位网络和服务方面的战略专家,其企业市场管理经验涵盖从初创企业 Gnodal、ServGate 到业界龙头 Cisco、HP 等企业客户。

查看英文原文: Securely Managed API Technologies Key to Fostering Market Innovation

2014-01-27 23:551568
用户头像

发布了 256 篇内容, 共 72.7 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
  • 着眼今生:揭秘区块链技术的发展现状

    这一讲,我们一起关注区块链技术的发展现状。

    2021-07-23

  • 自动化测试 | 如何在 API 开发中践行“设计优先”方法?SwaggerHub 助您一臂之力

    与SmartBear合作的很多公司都处于API旅程中的不同阶段。其中有些刚刚意识到他们需要一个API策略,而另一些则有整个团队去定义和实施一个API策略。但无论他们身处哪个阶段,他们都在寻找并想采用一种叫“API设计优先(API Design First)”的方法。

    2023-05-04

  • API 关键技术——身份认证

    身份认证是API安全的基础,在互联网上,网络环境的复杂多样导致API的存在状态也是多种多样的。要确保API使用的可信可控,使用身份认证技术是最简单、高效的选择。

    2022-11-22

  • Apipost 正式发布《API 行业白皮书》!

    为了更好的了解API这个行业的发展现状,给行业带来新的方向,API一体化研发协作平台Apipost发起了这次针对API行业的调查研究,通过大量的数据调研和汇总分析,最终形成了这份《API行业白皮书》。

    2023-02-16

  • 开创以 API 为核心的数字化变革,华为云实现 API 全生命周期一体化协作

    日前,在华为开发者大会2023(Cloud)的“开创以API为核心的数字化变革,实现API全生命周期一体化协作”专题论坛中,华为云产品专家、技术专家、伙伴、客户分享了在API领域中的先进管理经验与实践经验。

    2023-08-24

  • API 安全问题的原因及挑战

    从API的发展过程可以了解到,API安全问题一直伴随着API技术的发展在不断变化。可以用一句话来概括API安全的定义:API安全是从安全的角度关注API领域的安全问题和这些问题的解决方案,从技术和管理两个层面提高API自身和API周边生态的安全性。

    2022-11-12

  • DeFi:“三无模式”开辟金融新蓝海

    DeFi的意义不仅在于业务模式创新,站在社会价值的角度,DeFi的积极意义还在于金融普惠性和透明度的提升。而除此之外,DeFi还正在面向全球用户,创造一个无需准入、规则透明、规模极具想象力的金融统一大市场。

    2022-09-01

  • 八种十倍提升 API 性能的方式

    提起API,作为程序员来说并不陌生,很多程序员的大部分工作都是围绕着它, 然而,有些内容被大家忽略,API的性能会直接影响产品的用户体验,比如,一个视频软件,播放1s后需要加载5s,还有人会用它吗?API背后隐藏了很多复杂的业务逻辑,如何保证API的性能,

    2023-09-07

  • 代码和法律,哪个更强?

    关于代码和法律谁更强大的问题,我们的答案是,法律不会因为代码而做出改变,但代码在法律没有覆盖的空间是实际发挥作用的,法律需要自我拓展,才能实现对代码更有效的约束。

    2022-09-10

  • 常见的 API 安全漏洞类型

    根据安全漏洞发生的机理和原因,对API安全漏洞做归类分析,常见的类型如下。

    2022-11-13

  • 提高 API 采用率的关键:快速创建有效的 API 监控任务

    监控宝提供的API监控能够利用全球近百个监测点,实时监控API的运行状况,包括可用性、正确性、响应时间等性能数据。

    2023-04-04

  • 浅谈 API 安全

    导读:

    2023-06-19

  • 提升 API 可靠性的五种方法

    API 在我们的数字世界中发挥着关键的作用,使各种不同的应用能够相互通信。然而,这些 API 的可靠性是保证依赖它们的应用程序功能正常、性能稳定的关键因素。本文,我们将探讨提高 API 可靠性的五种主要策略。

    2023-07-21

  • 5 种典型 API 攻击及预防建议

    API 已经发展成为重要的互连,支持不同应用程序架构之间的通信,促进新服务的更快集成和部署。确保 API 安全十分关键。

    2022-11-23

  • 体验:链家为什么可以从线下起家反超所有互联网房企?

    做难而正确的事情。

    2022-07-27

  • 关于 DAO 的七个真相和两个趋势(一)

    DAO的主要优势,来源于智能合约带来的“代码自治”,但它的核心诉求并不是自治,而是功能定位。

    2022-09-03

  • 微服务与 API 有什么区别?

    如果您正在阅读此博客,则意味着您已经听说过以下术语: API 和微服务开发。但是很多人误解了微服务是细粒度的 Web 服务,或者 API 等同于微服务。这些都表明了基本的误解,因此我创建了这篇文章来打破这一点,并讨论微服务和 API 之间的主要 区别。如果您是

    2022-10-12

  • 开源的 YAPI 外还有哪些免费的接口工具?

    API 管理这个话题近些年听到的频次越来越多,这本质上是个 web 领域的发展有关,也和开发协作方式有关--前后端分离代替了全栈工程师 hold all 的局面,强调的更多的是 API 复用、分工和协作细化。API 管理的重要性不言而喻,每家公司随着业务的发展,多多少少

    2022-11-11

  • 区块链 + 数字人民币:怎样理解数字人民币体系架构?

    而伴随着数字人民币的发展,总有声音将其和区块链技术联系起来。

    2021-08-16

发现更多内容

macos端好用的剪切板管理工具:Paste 激活中文版

mac大玩家j

Mac软件 剪切板工具 剪切板软件

从0到100TB,MatrixOne助您轻松应对

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

Vue3.0在软件开发中的能力展示

互联网工科生

Vue DOM vue3.0

教育行业为什么管理特权账号?

尚思卓越

运维 网络安全

学校建设云教室方案应该考虑哪些?

青椒云云电脑

云教室 云教室解决方案

3D材质编辑:制作被火烧的木头

3D建模设计

3D渲染 材质贴图 纹理贴图 模型渲染 材质编辑

创新释放:Atlassian 人工智能引领现代工作

跟YY哥学Jira

人工智能 项目管理 Jira Confluence ChatGPT

矩阵起源与深圳大学达成专利开放认可合作,坚持科技是第一生产力

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

如何进行代码混淆?方法与常见工具介绍

Mint Blockchain,一个聚焦在 NFT 领域的 L2 网络

NFT Research

NFT\ NFTScan Layer 2

提升淘宝商品详情搜索效率,看这篇API接口详解

联讯数据

深入探讨 Swagger Array:开发者的步步为赢指南

Liam

后端 开发工具 swagger API 文档 web 开发

2023年,用友BIP持续发展,引领企业数智化

用友BIP

强大的系统活动监控器:iStat Menus 激活中文版最新

胖墩儿不胖y

系统监控工具 Mac电脑软件

国内外免费的SCADA软件工具有哪些?

2D3D前端可视化开发

物联网 组态软件 SCADA软件 组态工具 HMI系统

大模型训练中CPU高负载与GPU低使用率的优化策略

百度开发者中心

gpu 大模型

什么是API数据接口该怎么使用?

Noah

MatrixOne完成与麒麟软件服务器操作系统的兼容互认

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

王炸升级!PartyRock 10分钟构建 AI 应用

伤感汤姆布利柏

人工智能

当创建statefulset资源后,k8s组件如何协作

华为云开发者联盟

云原生 k8s 华为云 华为云开发者联盟

如何使用玻璃材质制作钻石3D模型

3D建模设计

3D渲染 纹理贴图 模型渲染 材质纹理 材质编辑

OPPO ColorOS全球创客大赛总决赛在即 加速潘塔纳尔生态成型

Geek_2d6073

【EMNLP 2023】基于大语言模型的复杂任务认知推理算法CogTree

阿里云大数据AI技术

【scikit-learn基础】--『数据加载』之样本生成器

EquatorCoco

Python 人工智能 机器学习

云电脑和一体机有什么区别?

青椒云云电脑

云电脑 桌面云一体机 云桌面一体机

公司敏感数据被上传Github,吓得我赶紧改提交记录

程序员小富

git

【写作训练营打卡|04】

高效挖掘数据价值,天翼云分析型数据库TeleDB For AnalyticDB申请出战!

Geek_2d6073

DAPP智能合约质押挖矿系统开发丨详情开发

l8l259l3365

一个 41 岁老程序员的 2023 年总结 - 利用 AI 延长自己的编程寿命

汪子熙

人工智能 AI 总结思考 ChatGPT 2023年

23年总结-对于开发者来说AI带来的影响和AI未来的趋势预测

肥晨

AI

对培育市场创新来说,安全管理API技术至关重要_SOA_Atchison Frazer_InfoQ精选文章