概述

最近更新时间:2026-06-26 09:31:31

我的收藏

功能简介

API 安全是腾讯云 WAF 提供的 API 安全防护能力,覆盖 API 发现、风险检测、事件处置等环节。它基于 WAF 旁路流量镜像进行分析,不影响业务正常转发链路,能够自动发现业务中的 API 资产,持续检测安全风险,并提供风险事件处置和安全策略配置能力。
开启 API 安全开关后,系统自动对域名 API 流量进行识别分析,约 30 分钟内完成首次分析并展示 API 资产列表及统计数据。通常无需改造业务架构,开启开关后待首次分析完成即可使用。

开通方式

1. 登录 WAF 控制台,在左侧导航栏中,选择接入管理 > 实例管理
2. 找到需要开通 API 安全的实例,单击扩展与增值 > API 安全
3. 在开通弹窗中勾选开通 API 安全,购买业务扩展包,单击立即购买

说明:
详细套餐与计费说明,请参见 计费概述

功能详解

API 安全功能包含以下四个子功能页面:
功能页面
核心能力
功能说明
安全态势感知
数据看板,展示 API 资产概览、风险概况、TOP5 统计和趋势图表,帮助快速掌握 API 安全态势
API 资产全生命周期管理
基于流量自动识别 API 资产,包括影子 API
通过资产树结构化展示各域名 API 路径、请求方式、调用量等。
支持资产加白、屏蔽、标注活跃/失活状态。
安全事件监控与处置
展示 API 安全检测到的安全事件,覆盖业务异常、权限异常、账号异常、Web 攻击等。
支持事件分类、批量操作、状态流转。
防护策略精细化管理
提供安全策略规则的启用、配置与管理,包含以下几类规则:
安全事件检测规则(系统内置 + 自定义)
敏感检测规则(系统内置 + 自定义)
鉴权凭据识别规则(自定义配置)
限流规则(自定义配置)
入参检测规则(Swagger 导入 + 手动添加)
功能场景识别规则(系统内置 + 自定义)
API 资产发现规则(自定义配置)
敏感数据加白(自定义配置)
无效资产屏蔽(自定义配置)
说明:
系统内置规则数量持续更新中,具体规则项以控制台页面为准。

应用场景

场景
痛点
推荐能力
API 资产梳理与影子 API 发现
企业 API 数量庞大缺乏有效管理手段,大量未登记在册的影子 API 暴露在公网上
API 资产自动发现 + 功能场景识别
敏感数据防泄漏
API 响应中可能包含身份证、手机号、银行卡号等敏感信息,如未脱敏可能导致数据泄露合规风险
敏感数据识别 + 敏感检测规则
越权风险检测
API 接口缺少鉴权机制或鉴权不严格,可能导致未授权访问、水平越权等安全风险
鉴权分析 + 鉴权凭据识别规则
接口限流防滥用
API 接口被恶意爬取或刷取,导致后端资源耗尽、业务异常
访问频率限流 + 限流规则
安全合规审计
企业面临等保、GDPR、行业监管等合规要求,需要证明 API 安全防护措施符合监管要求
风险事件检测 + 规则配置审计