12月20日消息，百度云防護(hù)WAF最新上線了API安功能，目前該功能只能企業(yè)版才可以用。

功能在配置中心 -API安全開(kāi)啟：

Web應(yīng)用防火墻（WAF）中的API安全模塊主要作用如下：

1. 自動(dòng)梳理API資產(chǎn)

• API資產(chǎn)總覽及生命周期管理：API安全模塊通過(guò)離線分析業(yè)務(wù)訪問(wèn)日志，自動(dòng)檢測(cè)流量中存在的所有API，支持根據(jù)接口特征自動(dòng)識(shí)別API業(yè)務(wù)用途。用戶可以通過(guò)API概覽查看API資產(chǎn)列表、API詳情（如API請(qǐng)求范例、參數(shù)結(jié)構(gòu)、近30天調(diào)用量等數(shù)據(jù)），分析API調(diào)用趨勢(shì)變化，按IP、客戶端類(lèi)型、地理位置、Referer維度查詢調(diào)用分布情況，以及監(jiān)控新上線的API、訪問(wèn)量下降的API。
• 檢測(cè)發(fā)現(xiàn)全量API資產(chǎn)：支持自定義檢測(cè)策略，方便安全團(tuán)隊(duì)掌握業(yè)務(wù)所有的API，以便進(jìn)行相應(yīng)的安全管理。

2. 檢測(cè)API風(fēng)險(xiǎn)

• API風(fēng)險(xiǎn)檢測(cè)：檢測(cè)API存在的未授權(quán)訪問(wèn)、敏感數(shù)據(jù)暴露等各類(lèi)安全風(fēng)險(xiǎn)，并提供詳細(xì)的風(fēng)險(xiǎn)分析及安全處置建議。
• 檢測(cè)發(fā)現(xiàn)API存在的安全風(fēng)險(xiǎn)：比如未授權(quán)訪問(wèn)、弱口令、接口設(shè)計(jì)的不安全不規(guī)范等。

3. 監(jiān)控分析API調(diào)用行為

• API安全事件檢測(cè)：監(jiān)控分析API的調(diào)用行為，及時(shí)發(fā)現(xiàn)各類(lèi)異常訪問(wèn)或攻擊行為，如惡意請(qǐng)求、數(shù)據(jù)泄露等。
• 安全事件總覽：包括API安全事件總數(shù)、高危事件數(shù)、中危事件數(shù)和低危事件數(shù)，以及安全事件的名稱(chēng)、API路徑、域名、攻擊源和產(chǎn)生時(shí)間等信息。

4. 審計(jì)和日志記錄

• 日志分析：記錄所有經(jīng)過(guò)的請(qǐng)求和操作，通過(guò)分析日志數(shù)據(jù)，幫助用戶及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)和異常行為，為后續(xù)的安全審計(jì)和故障排查提供有力支持。
• 溯源審計(jì)：當(dāng)發(fā)生敏感數(shù)據(jù)安全事件時(shí)，支持通過(guò)日志和敏感數(shù)據(jù)樣例數(shù)據(jù)，交叉溯源安全事件。

5. 提供風(fēng)險(xiǎn)處理建議和API生命周期管理參考數(shù)據(jù)

• 通過(guò)報(bào)表還原API異常事件，提供詳細(xì)的風(fēng)險(xiǎn)處理建議和API生命周期管理參考數(shù)據(jù)，幫助用戶實(shí)現(xiàn)全面的API安全防護(hù)。

百度云防護(hù)的API安全模塊通過(guò)自動(dòng)化識(shí)別和管理API資產(chǎn)、檢測(cè)和防御API風(fēng)險(xiǎn)、監(jiān)控分析API調(diào)用行為以及提供審計(jì)日志和風(fēng)險(xiǎn)處理建議等功能，幫助用戶提升API接口在數(shù)據(jù)流轉(zhuǎn)過(guò)程中的安全性，保障業(yè)務(wù)的穩(wěn)定運(yùn)行。