CA 方案助企業安全使用 API 獲利

2015-11-232015-11-20 Editor 0 Comments

今時今日不少人的日常生活已離不開智能裝置及應用程式，例如以手機查看天氣和瀏覽社交網站、以平板電腦工作和購物，甚至以智能電視追劇集，以往企業透過內部服務或嚴格控制的 Web 應用程式來公開資料，隨著互聯網、雲端服務和智能裝置普及，不少企業選擇以應用程式介面 (Application Programming Interface，API) 為雲端服務、應用程式和用戶提供部份內部數據，令 API 由已往「默默無聞」變成不可或缺。

API 為企業和開發者帶來機會
互聯網普及已有 20 多年，由當初以電腦上網的 Web 時代，進化到現時多用手機或平板 ( 甚至是汽車和其他物聯網裝置 ) 上網的應用程式時代，為擴展業務，現時不少企業均會透過應用程式接觸消費者或用戶，企業會透過提供 API 給第 3 方開發者，將公司內部部份數據或服務分享給用戶，讓用戶有更好的使用體驗。

據 ProgrammableWeb.com 資料顯示現時透過網絡提供的開放 API 已超過 2000 個，遠比 2005 的 32 個為多，API 使用量日增衍生出新的合作關係和商業模式，例如 Google 為開發者提供旗下地圖產品的 API，令第 3 方程式可用 Google 龐大的地圖資料，應用程式提供更多元化服務外，亦為應用程式開發者提供收入；Salesforce 在 2000 年為客戶提供 CRM (Customer Relationship Management) API 助使用者進行客戶管理，並衍生了 SaaS (Software As A Service) 的商業模式；Twitter 擁有由大量會員和推文組成的資料庫，Twitter 透過為程式開發者提供 API，令資訊更易分享和服務變得更齊全，吸引愈來愈多人使用 Twitter。

現時不少企業已轉向 API 應用模式，例如 Google 每天通過 API 處理的資料量達 50 億、Twitter 則是 120 億( 即當中 75% 流量是透過 API 傳輸 )，而有 65% 流量是透過 API 傳輸的 Salesforce.com，由於把服務以收費 API 開放給上下游用戶使用，令它每年 23 億美元的年營業額中有超過一半由收費 API 貢獻。其實現時 API 的商業模式主要有 4 種，分別是免費模式 ( 例如 Facebook)、開發者付費模式 ( 例如 Amazon 和 PayPal)、按開發者用量收費模式 ( 例如 Google) 和非直接模式 ( 例如 eBay)。

開放 API 為企業帶來 IT 安全挑戰
開放 API 雖有機會令企業為現有服務增值及提升營收，但提供 API 令企業外人士分享和使用到內部數據則令企業變成半開放，企業需要管理好流入流出的訊息外，亦要應付 API 攻擊或相應安全漏洞，當中有不少挑戰和風險是企業需要克服，例如保護資訊資產免受不當使用或攻擊、提供可靠不停機的 API 服務和以一致性原則控管 API存取和使用權限和如何透過 API 獲利等，因此近年出現「API 管理」一詞。「API 管理」是指在不影響企業資料安全性或系統效能情況下，以安全、可靠、符合成本效益地將 API 資訊，分享給合作夥伴、協力廠商開發人員、行動 App 及雲端服務使用。

因「API 管理」不當而起的保安問題

Talk Talk UK
英國電訊及寬頻網絡供應商 TalkTalk 網站受黑客入侵，估計多達 400 萬名新舊顧客的姓名、地址與銀行賬戶等個人資料被盜取，由於沒有為敏感的客戶資料加密，部分客戶的銀行帳戶已遭盜用在網上購物。

SnapChat
標榜瀏覽後幾秒即自動銷毀的圖片影音分享應用程式 Snapchat，早前駭客就利用第 3 方應用程式的安全漏洞，將 460 萬名用戶姓名和電話號碼資料曝光。

Yahoo USA
早前美國雅虎發現 3 台 API 伺服器被置入運行惡意程式碼，幸好這些伺服器只是用來為網站前端提供體育比賽即時比分數據，並沒有儲存使用者資訊，因此沒有使用者數據被盜。

MoonPig
賀卡網站 Moonpig 早前就因使用未加密用戶資料的 API，導致 300 萬名用戶數據遭到洩露，除可瀏覽用戶詳細資料 ( 包括郵寄地址、生日、電子郵件、電話號碼、以及部分信用卡數據 )，更可幫用戶下訂單，導致 Moonpig 將流動應用程式下架。

Delmarva Power
美國電力服務供應商 Delmarva Power 的 Android 應用程式由於有 API 漏洞，黑客可用該漏洞控制用戶的網上賬戶，例如瀏覽用戶地址等個人資料。

Tesla
電動車 Telsa 早前被發現它的 iOS 應用程式 API 存在漏洞，黑客可利用該漏洞打開車門、啟動並成功開走，甚至可發送「自殺」命令 (令車輛在行駛時突然關閉系統引擎讓車輛停下來)。

API 管理解決方案的功能需求
1. API 安全性
企業無法承受濫用或不當使用由 API 提供的資訊或任何應用程式資源，由於 API 管理解決方案是在 DMZ 中部署，因此企業也需要穩健的 IT 等級 API 解決方案能夠滿足各種安全性需求，從深入防護到 PCI 合規性、FIPS 和 API 金鑰安全性的 HSM 支援。

2. API 生命週期管理
企業需要設法確保在升級 / 修訂 API 或在環境、地理區域數據中心和雲端之間移動時，API 更新不會中斷 (成功率不低於99.999% 運作時間)。

3. API 控管
企業需要設法透過度量、服務水平協議 (SLA)、可用性和效能之類的原則特性，更廣泛控制和追蹤不同的合作夥伴和開發人員如何使用 API。

4. 開發人員啟用及社群建置
企業需要設法讓開發人員進行作業、管理這些開發人員，並協助開發人員充分使用所提供的 API。

5. API 獲利
對部份企業而言發佈 API 還不夠，API 也代表新的營收機會，不同的 API 管理解決方案能夠達到不同程度的獲利。

CA API 管理解決方案
CA API Management 透過結合適用於後端整合、行動裝置最佳化、雲端環境協調和開發人員管理的 API 管理進階功能，成功協助企業應付各類的 API 管理挑戰，並且可結合 CA API Service Manager，管理 API 從開發、測試到生產的整個生命週期。 CA API Management 透過硬體裝置或虛擬機器提供具彈性、效能和安全性的解決方案，可部署於企業內部，也可部署於雲端，適合需要開放企業資料與服務的企業使用，它內含：

I) CA API Gateway
會對外連接客戶、合作伙伴、第 3 方合作商，對內連接各種企業後台服務，並通過各種雲平台、流動裝置、互聯網裝置把體驗呈獻給用戶，部署上達到企業級 API 安全性和管理所需的核心功能，並有多種版本符合不同企業的特殊需求。

II) CA Mobile API Gateway
建基於 CA API Gateway 並強化企業的流動解決方案，它具有的 SDK 可提供企業級單一登入功能 (透過整合 OAuth 和 OpenID Connect 來達成) 和地理位置支援，以及行動裝置安全性管理，包括 Samsung Knox 整合。

III) CA API Developer Portal
這個中央入口網站可讓企業僱用、培訓、教育及管理內部或外部開發人員、發佈 API 以供使用 (包括說明文件、範例程式碼和群組) 和完整分析 API 使用情形 / 效能。

CA API Management 可以管理 API 從開發、測試到生產的整個生命週期。

API 管理提供安全付款方式
CA 的 API 管理解決方案目前在全球有 400 多個成功案例和用戶，覆蓋金融、電信、製造、電商、汽車等行業。不少人已習慣在手機或平板等流動裝置購物，CA API 管理就為零售商提供一個安全的解決方案平台，讓零售業者針對流動用戶部署一套可安全交易又可提升用戶使用體驗的解決方案。CA API Management and Security Suite 提供付款平台所需的各項重要功能，而 CA API Gateways 會與現有身分與存取管理系統整合，同時為員工和客戶提供單一登入 (Single Sign-On, SSO) 功能。CA 也會與社交網站整合，讓 SSO 的觸角延伸到企業之外。零售業者使用符合 PCI-DSS 標準的 CA API Gateway 技術後，將能確保所有付款交易皆受到適當保護與加密，且所配備的額外資料驗證與檢查控制將能保證交易完整性。