Theo báo cáo của Salt Security năm 2023, 94% doanh nghiệp từng trải qua sự cố bảo mật API, với 17% trong số đó dẫn đến rò rỉ dữ liệu nhạy cảm. Đặc biệt, các ngành như BFSI (Ngân hàng, Tài chính, Bảo hiểm) và thương mại điện tử, nơi lưu trữ thông tin khách hàng nhạy cảm, càng cần ưu tiên API security. Nếu không bảo vệ đúng cách, doanh nghiệp có thể đối mặt với tổn thất tài chính, mất uy tín và vi phạm quy định pháp lý như GDPR hay PCI DSS. Chính vì vậy Google Cloud đã cho ra mắt khả năng bảo mật API nâng cao được xây dựng trong Apigee. Hãy cùng Cloud Ace tìm hiểu nhé.
Google Cloud Advanced API Security
Bảo mật API nâng cao (Advanced API Security) liên tục giám sát API để phát hiện và ngăn chặn các mối đe dọa bảo mật. Hệ thống phân tích lưu lượng API nhận diện các yêu cầu đáng ngờ, đồng thời cung cấp công cụ chặn hoặc gắn flag những yêu cầu đó khi cần.
Bên cạnh đó, giải pháp này còn hỗ trợ doanh nghiệp đánh giá cấu hình API, đảm bảo tuân thủ các tiêu chuẩn bảo mật và đề xuất cải tiến phù hợp.
*Bảo mật API nâng cao không ảnh hưởng đến lưu lượng truy cập real-time
Advanced API Security bảo vệ API thông qua quy trình sau:
1️⃣ Thu thập dữ liệu về lưu lượng truy cập gần đây qua API.
2️⃣ Phân tích dữ liệu để phát hiện các mẫu lưu lượng bất thường có thể là mối đe dọa.
3️⃣ Hiển thị kết quả phân tích trên giao diện Apigee, bao gồm:
Phát hiện lạm dụng
Báo cáo bảo mật
Đánh giá rủi ro
4️⃣ Sau khi xem xét kết quả phân tích, doanh nghiệp có thể chặn hoặc gắn cờ các yêu cầu từ địa chỉ IP cụ thể trong trang security actions. Ngoài ra, doanh nghiệp có thể thiết lập cảnh báo bảo mật để nhận thông báo về các sự kiện liên quan đến Advanced API Security.
*Lưu ý: Giải pháp này không hỗ trợ API chạy trên Apigee Adapter for Envoy.
Làm thế nào để ứng dụng khả năng Advanced API Security
Advanced API Security là tiện ích phải trả phí, cho các doanh nghiệp thuộc điều kiện sau:
🔹 Doanh nghiệp sử dụng Apigee theo mô hình đăng ký hoặc pay-as-you-go
🔹 Doanh nghiệp sử dụng Apigee Hybrid theo mô hình đăng ký
🔹 Doanh nghiệp sử dụng Apigee (không Hybrid) và bật lưu trữ dữ liệu theo khu vực.
Để sử dụng Advanced API Security, cần kích hoạt tính năng này theo hướng dẫn:
🔹 Quản lý Advanced API Security cho doanh nghiệp trả phí theo mô hình pay-as-you-go
🔹 Quản lý Advanced API Security cho doanh nghiệp trả phí theo mô hình đăng ký.
Các tính năng chính
Abuse Detection
Xác định các sự cố bảo mật về API bằng các thuật toán máy học của Google, phát hiện API scraping và các bất thường khác.
Security Report
Cung cấp báo cáo phân tích chi tiết về mối đe dọa API, như số lượng request độc hại theo nhiều tiêu chí khác nhau và có thể xem trên Apigee UI hoặc API.
Risk Assessment
Xác định API không tuân thủ tiêu chuẩn bảo mật bằng cách đánh giá cấu hình API theo định kỳ, tính điểm bảo mật và đưa ra đề xuất nếu cần.
Security Actions
Thiết lập quy tắc Apigee xử lý lưu lượng đáng ngờ, dựa trên dữ liệu từ tính năng Abuse detection như chặn yêu cầu từ IP bị đánh giá là có hành vi lạm dụng.
Security Alerts
Thiết lập cảnh báo bảo mật khi phát hiện sự kiện quan trọng liên quan đến Advanced API Security như thay đổi điểm số bảo mật hoặc sự cố bảo mật.
Bảo mật API nâng cao bảo vệ dữ liệu nhạy cảm bằng cách thay thế chúng bằng giá trị băm (hashed value). Các kiểm tra như Phát hiện lạm dụng (Abuse Detection) và Hành động bảo mật (Security Actions) diễn ra trước khi dữ liệu bị làm mờ, giúp nhận diện mối đe dọa ngay cả khi thông tin đã bị ẩn. Tuy nhiên, giao diện và API chỉ hiển thị giá trị băm mà không thể truy xuất dữ liệu gốc. Do sử dụng thuật toán một chiều, các giá trị này không thể khôi phục, vì vậy cần cân nhắc khi cấu hình các hành động bảo mật liên quan.
Vietnamese 
English