云計(jì)算架構(gòu)的出現(xiàn)使企業(yè)重新思考應(yīng)用程序的擴(kuò)展方式，從而推動(dòng)了企業(yè)擺脫通過(guò)虛擬機(jī)等基礎(chǔ)設(shè)施部署全棧應(yīng)用程序，而是通過(guò)創(chuàng)建由多個(gè)互操作服務(wù)組成的API，采用微服務(wù)方法。

　　根據(jù)Gartner的預(yù)測(cè)，到2023年，超過(guò)50%的B2B交易將擺脫傳統(tǒng)方式，轉(zhuǎn)而通過(guò)實(shí)時(shí)API進(jìn)行。

　　值得警惕的是，雖然API的市場(chǎng)規(guī)模增長(zhǎng)迅速，但是安全威脅也在增長(zhǎng)。目前，雖然API網(wǎng)關(guān)為API安全提供了各種核心功能，在API管理和API交付中發(fā)揮了重要作用，但是解決API的新興風(fēng)險(xiǎn)需要傳統(tǒng)API網(wǎng)關(guān)范圍之外的各種新的復(fù)雜技術(shù)。

　　什么是API？

　　API是應(yīng)用程序編程接口首字母縮寫(xiě)，是計(jì)算機(jī)程序相互交互的一種方式，充當(dāng)了類似于繁忙城市中的交通控制系統(tǒng)的中間人，確保不同區(qū)域之間的交通無(wú)縫銜接。

　　什么是API網(wǎng)關(guān)？

　　在典型的微服務(wù)架構(gòu)中，API網(wǎng)關(guān)是一種指令和協(xié)議管理工具，用于處理來(lái)自客戶端的請(qǐng)求并決定將它們路由到哪些微服務(wù)以獲取響應(yīng)。

　　我們可以將其視為一種交通警察或總機(jī)，確保將請(qǐng)求傳遞到正確的位置，以便在獲得響應(yīng)的過(guò)程中得到正確處理。

　　對(duì)于微服務(wù)，必須存在對(duì)高效API網(wǎng)關(guān)的需求。主要的云供應(yīng)商意識(shí)到API網(wǎng)關(guān)還可以為公司提供一種便捷的方式來(lái)啟動(dòng)和運(yùn)行他們的云服務(wù)。

　　API安全需要什么？

　　眾所周知，雖然API網(wǎng)關(guān)能夠?yàn)殚_(kāi)發(fā)人員調(diào)用API提供了更明顯的安全層，但是仍然有改進(jìn)的空間。如果網(wǎng)關(guān)無(wú)法適應(yīng)其資源，則漏洞管理將成為一個(gè)令人難以置信的挑戰(zhàn)。

　　根據(jù)Gartner的說(shuō)法，到2022年，API濫用將從不常見(jiàn)的攻擊向量轉(zhuǎn)變?yōu)樽畛Ｒ?jiàn)的攻擊向量，從而導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。

　　人們想要減輕面臨的API安全威脅，需要正確的安全實(shí)施戰(zhàn)略和程序。另外，為了保證API的安全還應(yīng)該制定一個(gè)包含審計(jì)標(biāo)準(zhǔn)、變更控制系統(tǒng)、管理流程、訪問(wèn)控制措施等在內(nèi)的管理計(jì)劃。

　　為什么API網(wǎng)關(guān)的安全性還不夠好？

　　我們應(yīng)該把API網(wǎng)關(guān)和API安全區(qū)別開(kāi)來(lái)，不能混為一談。前者的訪問(wèn)控制功能，僅僅是API安全的一部分。更糟糕的是，開(kāi)發(fā)人員確保應(yīng)用程序正常運(yùn)行并執(zhí)行其設(shè)計(jì)的任務(wù)時(shí)，攻擊者可以找到巧妙的方法將應(yīng)用程序變成武器。正如OWASPAPI十大安全文件總結(jié)的一樣，API安全威脅同樣包括許多伴隨傳統(tǒng)Web應(yīng)用程序攻擊的漏洞。

　　隨著支持API的服務(wù)價(jià)值激增至數(shù)百萬(wàn)美元，黑客會(huì)努力嘗試找到新的方式來(lái)獲得不安全的密鑰。主要的三個(gè)關(guān)鍵驅(qū)動(dòng)因素如下。

　　1.利用有效API令牌的復(fù)雜攻擊可以成功針對(duì)應(yīng)用程序業(yè)務(wù)邏輯和數(shù)據(jù)層漏洞。

　　2.網(wǎng)絡(luò)攻擊從有效的API令牌中獲取里程數(shù)，可以成功的攻擊應(yīng)用程序的業(yè)務(wù)邏輯或數(shù)據(jù)層，原因是它們的設(shè)計(jì)是針對(duì)允許使用API的漏洞。

　　3.API網(wǎng)關(guān)的主要障礙是它只能監(jiān)控端點(diǎn)，盡管如此，它仍然不能完全描述其提供的可供消費(fèi)服務(wù)的完整API模式（RESTfulAPI和API交互方式）。

　　可能危及API安全的三個(gè)常見(jiàn)風(fēng)險(xiǎn)

　　處理API數(shù)量的方法乏善可陳

　　缺乏關(guān)于公共的、合作伙伴的、私人的和復(fù)合的API總數(shù)的信息，使安全團(tuán)隊(duì)無(wú)法理解一個(gè)API的真正暴露和風(fēng)險(xiǎn)。

　　黑客與開(kāi)發(fā)人員

　　黑客通過(guò)使用工具，甚至更復(fù)雜的方法，侵入開(kāi)發(fā)者層面的API，之后可以利用細(xì)微的錯(cuò)誤來(lái)映射API，了解其結(jié)構(gòu)，并找到代碼本身的漏洞。

　　小企業(yè)API安全問(wèn)題缺乏關(guān)注

　　相較于大型企業(yè)，小企業(yè)無(wú)法提供必要的措施來(lái)充分保障其數(shù)據(jù)，因此所擁有的安全性較低，面臨的安全風(fēng)險(xiǎn)也會(huì)增多。

　　WAAP應(yīng)運(yùn)而生

　　現(xiàn)階段，面臨的API安全威脅增加，防火墻和網(wǎng)關(guān)等傳統(tǒng)安全工具無(wú)法始終為用戶提供防止API攻擊所需的防御，WAAP（網(wǎng)絡(luò)應(yīng)用程序和API保護(hù)）是必不可少的。

　　另外，考慮到傳統(tǒng)的Web應(yīng)用程序防火墻解決方案旨在防止基于每個(gè)請(qǐng)求的惡意活動(dòng)。這意味著它們不會(huì)阻止所有形式的網(wǎng)絡(luò)釣魚(yú)，包括魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。當(dāng)黑客利用受害者通過(guò)電子郵件提供的信息，直接在公司的環(huán)境中進(jìn)行攻擊時(shí)，WAAP能夠確保API被屏蔽，不會(huì)導(dǎo)致安全隱患。

　　WAAP解決方案以四個(gè)關(guān)鍵功能為中心：

　　DDoS保護(hù)

　　下一代網(wǎng)絡(luò)應(yīng)用防火墻（WAF）

　　機(jī)器人管理

　　API保護(hù)

　　通過(guò)使用WAAP解決方案監(jiān)控進(jìn)入應(yīng)用程序的所有互聯(lián)網(wǎng)流量，企業(yè)可以檢測(cè)惡意活動(dòng)并確保只有受信任的客戶才能在平臺(tái)上進(jìn)行合法交易。WAAP解決方案利用完全托管和基于風(fēng)險(xiǎn)的應(yīng)用程序安全方法來(lái)管理Web應(yīng)用程序，能夠防止網(wǎng)絡(luò)威脅的異常活動(dòng)。

　　注：本文內(nèi)容收集自helpnetsecurity.com，制作者對(duì)其完整性負(fù)責(zé)，但不對(duì)其真實(shí)性和有效性負(fù)責(zé)。