功能简介
API 安全是腾讯云 WAF 提供的 API 安全防护能力,覆盖 API 发现、风险检测、事件处置等环节。它基于 WAF 旁路流量镜像进行分析,不影响业务正常转发链路,能够自动发现业务中的 API 资产,持续检测安全风险,并提供风险事件处置和安全策略配置能力。
开启 API 安全开关后,系统自动对域名 API 流量进行识别分析,约 30 分钟内完成首次分析并展示 API 资产列表及统计数据。通常无需改造业务架构,开启开关后待首次分析完成即可使用。
开通方式
1. 登录 WAF 控制台,在左侧导航栏中,选择接入管理 > 实例管理。
2. 找到需要开通 API 安全的实例,单击扩展与增值 > API 安全。
3. 在开通弹窗中勾选开通 API 安全,购买业务扩展包,单击立即购买。

说明:
功能详解
API 安全功能包含以下四个子功能页面:
功能页面 | 核心能力 | 功能说明 |
安全态势感知 | 数据看板,展示 API 资产概览、风险概况、TOP5 统计和趋势图表,帮助快速掌握 API 安全态势 | |
API 资产全生命周期管理 | 基于流量自动识别 API 资产,包括影子 API。 通过资产树结构化展示各域名 API 路径、请求方式、调用量等。 支持资产加白、屏蔽、标注活跃/失活状态。 | |
安全事件监控与处置 | 展示 API 安全检测到的安全事件,覆盖业务异常、权限异常、账号异常、Web 攻击等。 支持事件分类、批量操作、状态流转。 | |
防护策略精细化管理 | 提供安全策略规则的启用、配置与管理,包含以下几类规则: 安全事件检测规则(系统内置 + 自定义) 敏感检测规则(系统内置 + 自定义) 鉴权凭据识别规则(自定义配置) 限流规则(自定义配置) 入参检测规则(Swagger 导入 + 手动添加) 功能场景识别规则(系统内置 + 自定义) API 资产发现规则(自定义配置) 敏感数据加白(自定义配置) 无效资产屏蔽(自定义配置) 说明: 系统内置规则数量持续更新中,具体规则项以控制台页面为准。 |
应用场景
场景 | 痛点 | 推荐能力 |
API 资产梳理与影子 API 发现 | 企业 API 数量庞大缺乏有效管理手段,大量未登记在册的影子 API 暴露在公网上 | API 资产自动发现 + 功能场景识别 |
敏感数据防泄漏 | API 响应中可能包含身份证、手机号、银行卡号等敏感信息,如未脱敏可能导致数据泄露合规风险 | 敏感数据识别 + 敏感检测规则 |
越权风险检测 | API 接口缺少鉴权机制或鉴权不严格,可能导致未授权访问、水平越权等安全风险 | 鉴权分析 + 鉴权凭据识别规则 |
接口限流防滥用 | API 接口被恶意爬取或刷取,导致后端资源耗尽、业务异常 | 访问频率限流 + 限流规则 |
安全合规审计 | 企业面临等保、GDPR、行业监管等合规要求,需要证明 API 安全防护措施符合监管要求 | 风险事件检测 + 规则配置审计 |