跳到主要内容
版本:3.10.x

合规

在数据驱动的业务环境中,数据安全和隐私对于企业来说至关重要。API 网关处理大量敏感数据,必须遵守严格的合规标准,以在传输和处理过程中保护数据。

GDPR、FIPS 140-2 和 SOC 2 等全球和区域法规设定了严格的数据管理要求,以保护敏感信息。这些法规有助于降低数据滥用或泄露的风险,确保业务运营符合国际安全和隐私标准。

API7.ai 优先考虑安全性,并持续保持其产品和服务的合规性。API7.ai 遵循行业领先的合规标准,包括 SOC 2 Type II、ISO/IEC 27001:2022、HIPAA 和 GDPR。这些合规标准共同解决了数据保护和安全的技术、运营和监管方面的问题,使 API7.ai 成为跨行业组织的安全、合规选择。

API7 网关合规方案

1. FIPS 140-2

FIPS 140-2(联邦信息处理标准 140-2)是指定加密模块要求的美国政府安全标准。金融和医疗保健等行业通常对数据安全提出特定的合规性要求。

API7 网关集成了 FIPS 140-2 合规性,以确保其加密模块满足处理敏感数据的严格安全要求。API7 网关通过支持 FIPS 140-2 验证的 OpenSSL 3.0 来满足严格的 FIPS 140-2(1 级)要求,强化了加密和解密 SSL/TLS 加密网络流量。

2. 安全数据传输

API7 网关采用 TLS 和 mTLS 等强大的传输协议,形成全面的多层安全框架。TLS 通过加密客户端和服务器之间的数据来保护通信通道的安全,而 mTLS 则确保客户端和服务器之间的相互身份验证的安全。

它还支持基于 IP 地址的访问控制,通过可配置的 IP 黑名单和白名单。ip-restriction 插件可用于限制 IP 地址对上游资源的访问。此外,API7 网关还提供 key-authbasic-authjwt-authhmac-auth 等多种认证方式,允许企业定制其安全策略以满足特定要求。这些功能有助于增强 API7 网关抵御各种网络威胁的能力,确保现代企业环境免受不断变化的风险影响。

3. 密钥管理

企业可以将机密、令牌和 SSL 证书等敏感数据安全地存储在 API7 网关中,符合 FIPS 等行业标准。或者,敏感信息可以存储在受信任的密钥管理解决方案中,例如 HashiCorp Vault 和 AWS Secrets Manager。由于 API7 网关已与这些主流密钥管理解决方案集成,公司可以安全地检索和引用这些数据作为变量,从而最大限度地降低暴露风险。

通过与这些外部密钥管理器集成,API7 网关可以帮助组织实施强大的安全策略。此外,API7 网关提供细粒度的访问控制,进一步降低未经授权的访问或修改的风险。

4. 数据隐私保护

为了进一步保护敏感数据,API7 网关提供了一套强大的数据安全保护插件。data-mask 插件可用于删除或替换请求标头、请求正文和 URL 查询中的敏感信息。因此,可以在日志中屏蔽机密和密码等敏感数据,防止敏感信息泄露。

API7 网关可以为已发布的 API 添加 Web 应用程序防火墙(WAF)保护,以帮助检测和阻止 SQL 注入和跨站点脚本(XSS)等恶意请求。你可以直接将 chaitin-waf 插件与 Chaitin WAF(SafeLine)结合使用,也可以集成基于 WASM 的 WAF(例如 Coraza)。有关这些路径有何不同的指南,请参阅 Web 应用程序防火墙(WAF)