云計(jì)算架構(gòu)的出現(xiàn)使企業(yè)重新思考應(yīng)用程序的擴(kuò)展方式，從而推動(dòng)了企業(yè)擺脫通過(guò)虛擬機(jī)等基礎(chǔ)設(shè)施部署全棧應(yīng)用程序，而是通過(guò)創(chuàng)建由多個(gè)互操作服務(wù)組成的 API，采用微服務(wù)方法。

根據(jù) Gartner 的預(yù)測(cè)，到 2023 年，超過(guò) 50% 的 B2B 交易將擺脫傳統(tǒng)方式，轉(zhuǎn)而通過(guò)實(shí)時(shí) API 進(jìn)行。

值得警惕的是，雖然 API 的市場(chǎng)規(guī)模增長(zhǎng)迅速，但是安全威脅也在增長(zhǎng)。目前，雖然API 網(wǎng)關(guān)為 API 安全提供了各種核心功能，在 API 管理和 API 交付中發(fā)揮了重要作用，但是解決 API 的新興風(fēng)險(xiǎn)需要傳統(tǒng) API 網(wǎng)關(guān)范圍之外的各種新的復(fù)雜技術(shù)。

什么是 API？

API 是應(yīng)用程序編程接口首字母縮寫，是計(jì)算機(jī)程序相互交互的一種方式，充當(dāng)了類似于繁忙城市中的交通控制系統(tǒng)的中間人，確保不同區(qū)域之間的交通無(wú)縫銜接。

什么是 API 網(wǎng)關(guān)？

在典型的微服務(wù)架構(gòu)中，API 網(wǎng)關(guān)是一種指令和協(xié)議 管理工具，用于處理來(lái)自客戶端的請(qǐng)求并決定將它們路由到哪些微服務(wù)以獲取響應(yīng)。

我們可以將其視為一種交通警察或總機(jī)，確保將請(qǐng)求傳遞到正確的位置，以便在獲得響應(yīng)的過(guò)程中得到正確處理。

對(duì)于微服務(wù)，必須存在對(duì)高效 API 網(wǎng)關(guān)的需求。主要的云供應(yīng)商意識(shí)到 API 網(wǎng)關(guān)還可以為公司提供一種便捷的方式來(lái)啟動(dòng)和運(yùn)行他們的云服務(wù)。

API 安全需要什么？

眾所周知，雖然 API 網(wǎng)關(guān)能夠?yàn)殚_(kāi)發(fā)人員調(diào)用 API 提供了更明顯的安全層，但是仍然有改進(jìn)的空間。如果網(wǎng)關(guān)無(wú)法適應(yīng)其資源，則漏洞管理將成為一個(gè)令人難以置信的挑戰(zhàn)。

根據(jù) Gartner 的說(shuō)法，到 2022 年，API 濫用將從不常見(jiàn)的攻擊向量轉(zhuǎn)變?yōu)樽畛Ｒ?jiàn)的攻擊向量，從而導(dǎo)致企業(yè) Web 應(yīng)用程序的數(shù)據(jù)泄露。

人們想要減輕面臨的 API 安全威脅，需要正確的安全實(shí)施戰(zhàn)略和程序。另外，為了保證 API 的安全還應(yīng)該制定一個(gè)包含審計(jì)標(biāo)準(zhǔn)、變更控制系統(tǒng)、管理流程、訪問(wèn)控制措施等在內(nèi)的管理計(jì)劃。

為什么 API 網(wǎng)關(guān)的安全性還不夠好？

我們應(yīng)該把 API 網(wǎng)關(guān)和 API 安全區(qū)別開(kāi)來(lái)，不能混為一談。前者的訪問(wèn)控制功能，僅僅是 API 安全的一部分。更糟糕的是，開(kāi)發(fā)人員確保應(yīng)用程序正常運(yùn)行并執(zhí)行其設(shè)計(jì)的任務(wù)時(shí)，攻擊者可以找到巧妙的方法將應(yīng)用程序變成武器。正如 OWASP API 十大安全文件總結(jié)的一樣，API 安全威脅同樣包括許多伴隨傳統(tǒng) Web 應(yīng)用程序攻擊的漏洞。

隨著支持 API 的服務(wù)價(jià)值激增至數(shù)百萬(wàn)美元，黑客會(huì)努力嘗試找到新的方式來(lái)獲得不安全的密鑰。主要的三個(gè)關(guān)鍵驅(qū)動(dòng)因素如下：

• 利用有效 API 令牌的復(fù)雜攻擊可以成功針對(duì)應(yīng)用程序業(yè)務(wù)邏輯和數(shù)據(jù)層漏洞。
• 網(wǎng)絡(luò)攻擊從有效的 API 令牌中獲取里程數(shù)，可以成功的攻擊應(yīng)用程序的業(yè)務(wù)邏輯或數(shù)據(jù)層，原因是它們的設(shè)計(jì)是針對(duì)允許使用 API 的漏洞。
• API 網(wǎng)關(guān)的主要障礙是它只能監(jiān)控端點(diǎn)，盡管如此，它仍然不能完全描述其提供的可供消費(fèi)服務(wù)的完整 API 模式（RESTful API 和 API 交互方式）。

可能危及 API 安全的三個(gè)常見(jiàn)風(fēng)險(xiǎn)

(1) 處理 API 數(shù)量的方法乏善可陳

缺乏關(guān)于公共的、合作伙伴的、私人的和復(fù)合的 API 總數(shù)的信息，使安全團(tuán)隊(duì)無(wú)法理解一個(gè) API 的真正暴露和風(fēng)險(xiǎn)。

(2) 黑客與開(kāi)發(fā)人員

黑客通過(guò)使用工具，甚至更復(fù)雜的方法，侵入開(kāi)發(fā)者層面的 API，之后可以利用細(xì)微的錯(cuò)誤來(lái)映射 API，了解其結(jié)構(gòu)，并找到代碼本身的漏洞。

(3) 小企業(yè) API 安全問(wèn)題缺乏關(guān)注

相較于大型企業(yè)，小企業(yè)無(wú)法提供必要的措施來(lái)充分保障其數(shù)據(jù)，因此所擁有的安全性較低，面臨的安全風(fēng)險(xiǎn)也會(huì)增多。

WAAP 應(yīng)運(yùn)而生

現(xiàn)階段，面臨的 API 安全威脅增加，防火墻和網(wǎng)關(guān)等傳統(tǒng)安全工具無(wú)法始終為用戶提供防止 API 攻擊所需的防御，WAAP（網(wǎng)絡(luò)應(yīng)用程序和 API 保護(hù)）是必不可少的。

另外，考慮到傳統(tǒng)的 Web 應(yīng)用程序防火墻解決方案旨在防止基于每個(gè)請(qǐng)求的惡意活動(dòng)。這意味著它們不會(huì)阻止所有形式的網(wǎng)絡(luò)釣魚，包括魚叉式網(wǎng)絡(luò)釣魚攻擊。當(dāng)黑客利用受害者通過(guò)電子郵件提供的信息，直接在公司的環(huán)境中進(jìn)行攻擊時(shí)，WAAP 能夠確保 API 被屏蔽，不會(huì)導(dǎo)致安全隱患。

WAAP 解決方案以四個(gè)關(guān)鍵功能為中心：

• DDoS 保護(hù)
• 下一代網(wǎng)絡(luò)應(yīng)用防火墻（WAF）
• 機(jī)器人管理
• API 保護(hù)

通過(guò)使用 WAAP 解決方案監(jiān)控進(jìn)入應(yīng)用程序的所有互聯(lián)網(wǎng)流量，企業(yè)可以檢測(cè)惡意活動(dòng)并確保只有受信任的客戶才能在平臺(tái)上進(jìn)行合法交易。WAAP 解決方案利用完全托管和基于風(fēng)險(xiǎn)的應(yīng)用程序安全方法來(lái)管理 Web 應(yīng)用程序，能夠防止網(wǎng)絡(luò)威脅的異?；顒?dòng)。