跳到主要内容

合规性

在数据驱动的商业环境中,数据安全和隐私对企业至关重要。API 网关处理大量敏感数据,必须遵守严格的合规标准以在传输和处理过程中保护数据。

全球和地区法规(如 GDPR、FIPS 140-2 和 SOC 2)设定了严格的数据管理要求以保护敏感信息。这些法规有助于减轻数据滥用或泄漏的风险,确保业务运营符合国际安全和隐私标准。

API7.ai 优先考虑安全性,并持续维护其产品和服务的合规性。API7.ai 通过遵守行业领先的 合规标准,包括 SOC 2 Type II、ISO/IEC 27001:2022、HIPAA 和 GDPR,确保强大的数据保护。这些合规标准共同解决了数据保护和安全的技术、运营和监管方面的问题,使 API7.ai 成为各行业组织的安全、合规选择。

API7 企业版的合规性解决方案

1. FIPS 140-2

FIPS 140-2(联邦信息处理标准 140-2)是美国政府的安全标准,规定了加密模块的要求。金融和医疗保健等行业通常对数据安全有特定的合规要求。

API7 企业版集成了 FIPS 140-2 合规性,以确保其加密模块满足处理敏感数据的严格安全要求。API7 企业版通过支持经过 FIPS 140-2 验证的 OpenSSL 3.0,满足严格的 FIPS 140-2(1 级)要求,加强了 SSL/TLS 加密网络流量的加密和解密。

2. 安全数据传输

API7 企业版采用强大的传输协议,包括 TLS 和 mTLS,形成了一个全面的多层安全框架。TLS 通过加密客户端和服务器之间的数据来保护通信通道,而 mTLS 确保它们之间的相互身份验证。

它还支持基于 IP 地址的访问控制,通过可配置的 IP 黑名单和白名单实现。可以使用 ip-restriction 插件通过 IP 地址限制对上游资源的访问。此外,API7 企业版提供多种身份验证方法,如 key-authbasic-authjwt-authhmac-auth,允许企业定制其安全策略以满足特定要求。这些功能有助于加强 API7 企业版抵御各种网络威胁,确保现代企业环境免受不断演变的风险的影响。

3. 密钥管理

企业可以在 API7 企业版中安全地存储敏感数据,如密钥、令牌和 SSL 证书,符合 FIPS 等行业标准。或者,敏感信息可以存储在受信任的密钥管理解决方案中,如 HashiCorp Vault 和 AWS Secrets Manager。由于 API7 企业版已与这些主流密钥管理解决方案集成,公司可以安全地检索并将此数据作为变量引用,最大限度地降低暴露风险。

通过与这些外部密钥管理器集成,API7 企业版帮助组织实施强大的安全策略。此外,API7 企业版提供细粒度的访问控制,进一步降低未经授权访问或修改的风险。

4. 数据隐私保护

为了进一步保护敏感数据,API7 企业版提供了一套强大的数据安全插件。data-mask 插件可用于删除或替换请求标头、请求正文和 URL 查询中的敏感信息。因此,日志中的密钥和密码等敏感数据可以被屏蔽,防止敏感信息泄露。

API7 企业版通过强大的 Web 应用程序防火墙 (WAF) 增强其数据隐私保护,包括 chaitin-wafcoraza-proxy-wasmopen-appsec。它们有助于检测和阻止 SQL 注入和跨站脚本 (XSS) 等恶意请求,以保护应用程序和用户数据的安全性。