API安全已經(jīng)成為企業(yè)組織的一個(gè)關(guān)鍵性業(yè)務(wù)發(fā)展問題，而非僅僅是信息安全的問題。而一個(gè)設(shè)計(jì)良好的API治理框架，不僅可以幫助企業(yè)建立起完整的開發(fā)、部署和管理API的指導(dǎo)方針和應(yīng)用規(guī)則，同時(shí)也為企業(yè)API開發(fā)提供了一種結(jié)構(gòu)化的方法。有效的API治理還有助于企業(yè)識別和減輕與API相關(guān)的風(fēng)險(xiǎn)，例如安全漏洞、合規(guī)問題和性能問題。通過實(shí)現(xiàn)API治理最佳實(shí)踐，組織可以優(yōu)化他們的API應(yīng)用組合，改善團(tuán)隊(duì)之間的協(xié)作，并增加從API投資中獲得回報(bào)。

圖：API安全治理框架體系

研究人員認(rèn)為，一個(gè)完善的API治理框架，應(yīng)該全面涵蓋其安全性、技術(shù)管理、利用率、監(jiān)控、標(biāo)準(zhǔn)管理、性能管理以及合規(guī)管理等多個(gè)方面。本文將對這些關(guān)鍵組成部分進(jìn)行分析，并給出治理策略建議。

1、API安全性

API安全性是API治理的關(guān)鍵組件，主要保護(hù)API免受的違規(guī)訪問、濫用和其他安全風(fēng)險(xiǎn)的威脅。為了確保API的安全性，企業(yè)需要采取多種措施：

OWASP測試是一個(gè)標(biāo)準(zhǔn)化的安全測試過程，旨在識別API中潛在的安全漏洞。它需要各種安全測試技術(shù)的支撐，例如注入攻擊、跨站點(diǎn)腳本和訪問控制問題等等；

滲透測試是另一種用于識別API中潛在安全漏洞的技術(shù)。它涉及對API的模擬攻擊，以識別可能被攻擊者利用的潛在弱點(diǎn)；

API使用監(jiān)控是指檢測API使用中不尋?；虿蛔匀荒Ｊ降倪^程。這種監(jiān)控可以幫助識別潛在的安全威脅，防止API的誤用和濫用；

代碼審查也是API安全性的一個(gè)重要方面。通過徹底檢查API代碼，開發(fā)人員可以識別潛在的安全缺陷和漏洞，并在它們成為威脅之前解決它們；

身份驗(yàn)證和授權(quán)機(jī)制對于保護(hù)API的安全性也至關(guān)重要。這些機(jī)制確保只有被合法授權(quán)的用戶才能訪問所有API中被授權(quán)的資源。此外，API端點(diǎn)的設(shè)計(jì)必須區(qū)分用戶和管理員，以防止未經(jīng)授權(quán)的訪問；

實(shí)現(xiàn)強(qiáng)大的安全措施對于確保API的安全性和完整性至關(guān)重要。通過實(shí)施這些措施，組織可以保護(hù)API免受潛在的安全威脅，并確保API服務(wù)安全可靠地交付給用戶。

2、API技術(shù)管理

API技術(shù)是API治理中的重要組成部分，它包括為API開發(fā)選擇和管理適當(dāng)?shù)募夹g(shù)堆棧。為了確保技術(shù)的有效使用，企業(yè)需要對現(xiàn)有API開發(fā)技術(shù)進(jìn)行記錄備案，不斷引入新技術(shù)并淘汰過時(shí)技術(shù)，同時(shí)促進(jìn)新技術(shù)的落地應(yīng)用。

對現(xiàn)有API開發(fā)技術(shù)進(jìn)行記錄備案，可以讓組織對用于API開發(fā)和管理的技術(shù)有一個(gè)清晰的理解。這些信息可以幫助識別技術(shù)堆棧中的潛在安全防護(hù)缺口、重疊和冗余。

引入新技術(shù)是API技術(shù)發(fā)展的另一個(gè)重要方面。它可以確保技術(shù)堆棧保持最新狀態(tài)，并與最新的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐保持一致。此外，檢查Gartner等研究機(jī)構(gòu)發(fā)布的魔力象限可以幫助組織識別新興技術(shù)，并評估其對API開發(fā)和管理的適用性。在評估當(dāng)前技術(shù)堆棧的有效性時(shí)，識別生產(chǎn)事故并為其貼上技術(shù)標(biāo)簽也是至關(guān)重要的。它有助于識別需要改進(jìn)的領(lǐng)域，并識別無法滿足業(yè)務(wù)需求的舊技術(shù)。

3、API利用

API利用也是API治理框架的一個(gè)關(guān)鍵組成部分，它主要指監(jiān)控和優(yōu)化API的使用，以確保其價(jià)值和應(yīng)用效率的最大化。為了實(shí)現(xiàn)這一點(diǎn)，企業(yè)需要采取一些措施，主要包括：

• 在管理端集中使用API，這樣可以讓組織清楚地了解各種應(yīng)用程序和服務(wù)之間的API使用情況，識別潛在的性能瓶頸以及需要優(yōu)化的領(lǐng)域；
• 撤銷或合并未使用的API，確保這些API不會(huì)消耗不必要的資源，并降低API生態(tài)系統(tǒng)的整體復(fù)雜性；
• 要確保使用率高的API能夠得到及時(shí)擴(kuò)展和優(yōu)化。通過識別利用率高的API，組織可以優(yōu)化其性能，增加可擴(kuò)展性，并改善整體用戶體驗(yàn)；
• 公開API目錄，這樣開發(fā)人員更容易發(fā)現(xiàn)和重用現(xiàn)有API，而非構(gòu)建新的API，這不僅節(jié)省了時(shí)間和資源，還能夠提高API應(yīng)用的一致性，降低了API生態(tài)系統(tǒng)的整體復(fù)雜性；
• 最后，計(jì)算API成本并實(shí)施成本優(yōu)化也至關(guān)重要。通過確定運(yùn)行時(shí)成本（如CPU、網(wǎng)絡(luò)和日志量），組織可以實(shí)施成本優(yōu)化措施并將不必要的成本降至最低。

4、API運(yùn)行監(jiān)控

API監(jiān)控是API治理的一個(gè)關(guān)鍵方面，它涉及跟蹤和分析API的性能、可用性和安全性。為了確保有效的API監(jiān)控，組織需要盡快實(shí)施以下技術(shù)措施：

• 首先，建立API監(jiān)控的要求規(guī)范是必要的。這包括建立一個(gè)專用的監(jiān)視系統(tǒng)，并定義監(jiān)視指標(biāo)和閾值，跟蹤關(guān)鍵性能指標(biāo)，如響應(yīng)時(shí)間、錯(cuò)誤率和正常運(yùn)行時(shí)間，以確保API的安全性和性能；
• 發(fā)布日志保留和卷號（volume number）也是API監(jiān)視的重要方面。它可以幫助組織識別API使用性能的變化趨勢，組織可以使用此數(shù)據(jù)來識別需要優(yōu)化的過度使用API，或者檢測其中的安全漏洞；
• 此外，為不尋常的模式、峰值和其他異常參數(shù)設(shè)置警報(bào)可以幫助組織快速識別和響應(yīng)問題。這確保了各種API安全問題都能及時(shí)得到解決，減少長時(shí)間停機(jī)或服務(wù)中斷的風(fēng)險(xiǎn)。
• 最后，要密切監(jiān)控API的SQL注入和其他攻擊。組織應(yīng)該實(shí)施預(yù)防和檢測此類攻擊的措施，例如輸入驗(yàn)證、加密和訪問控制等，這有助于將數(shù)據(jù)泄露的風(fēng)險(xiǎn)降至最低，并確保API是安全和合規(guī)的。

5、API標(biāo)準(zhǔn)

API標(biāo)準(zhǔn)是API治理的重要組成部分，因?yàn)樗鼈兇_保API在整個(gè)組織中得到一致的開發(fā)和維護(hù)。為了確保遵守API標(biāo)準(zhǔn)，組織應(yīng)該實(shí)施以下措施：

• 遵循OpenAPI標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了描述RESTful API的標(biāo)準(zhǔn)方法。遵循這個(gè)標(biāo)準(zhǔn)可以確保API有良好的文檔記錄，易于理解，并可與其他API實(shí)現(xiàn)互操作；
• 使用自動(dòng)化的API審計(jì)工具。這些工具可以掃描API代碼和配置，以發(fā)現(xiàn)潛在的問題，例如安全漏洞或違規(guī)。這有助于確保API是安全的、兼容的和高質(zhì)量的；
• 要求團(tuán)隊(duì)提交API YAML文件和Postman集合。這確保了API文檔和測試工件是最新的，并且易于其他團(tuán)隊(duì)訪問，有助于確保API經(jīng)過良好的文檔記錄和測試。
• 最后，支持金絲雀發(fā)布（canary release）和版本控制對于確保API能夠有效地部署和管理至關(guān)重要。Canary發(fā)布涉及將新功能部署給一小部分用戶，在向更廣泛的用戶發(fā)布之前測試其影響。版本控制包括為每個(gè)API分配一個(gè)唯一的版本號，以確保對一個(gè)版本的更改不會(huì)影響其他版本。 

6、API性能管理

API性能管理是API治理的一個(gè)關(guān)鍵方面，因?yàn)樗苯佑绊懹脩趔w驗(yàn)和API組合運(yùn)營的成本。為了確保API應(yīng)用保持最佳的性能狀態(tài)，企業(yè)應(yīng)該實(shí)施以下措施：

• 使用Kibana、AppDynamics或Nginx等工具監(jiān)控API性能。這些工具可以洞察API響應(yīng)時(shí)間、錯(cuò)誤率和其他性能指標(biāo)。通過監(jiān)控API性能，組織可以快速發(fā)現(xiàn)問題并采取糾正措施；
• 為低性能API設(shè)置警報(bào)，并通知團(tuán)隊(duì)采取行動(dòng)。這可以確保及時(shí)發(fā)現(xiàn)和解決性能問題，最大限度地減少對用戶的影響；
• 優(yōu)化低性能API。每個(gè)用戶都希望API能夠快速響應(yīng)，任何延遲或錯(cuò)誤都可能導(dǎo)致滿意度降低甚至是業(yè)務(wù)損失。通過優(yōu)化API性能，組織可以提供更好的用戶體驗(yàn)并降低運(yùn)營成本。

7、API合規(guī)

API合規(guī)管理是為了確保API遵從內(nèi)部公司策略和監(jiān)管需求，合規(guī)主要有兩種類型：內(nèi)部合規(guī)和監(jiān)管合規(guī)。

內(nèi)部合規(guī)指的是遵守管理組織內(nèi)API開發(fā)和使用的內(nèi)部策略和標(biāo)準(zhǔn)。這些策略可以包括數(shù)據(jù)安全、隱私和治理；監(jiān)管合規(guī)指的是遵守管理API開發(fā)和使用的外部法規(guī)和標(biāo)準(zhǔn)。這些法規(guī)可以包括特定于行業(yè)的標(biāo)準(zhǔn)，例如用于醫(yī)療保健的HIPAA或用于支付卡數(shù)據(jù)的PCI DSS。

為了確保API合規(guī)性，企業(yè)可以執(zhí)行連續(xù)掃描，例如靜態(tài)和動(dòng)態(tài)掃描，以確定潛在的技術(shù)合規(guī)性問題，其中靜態(tài)掃描可以分析代碼的安全漏洞，而動(dòng)態(tài)掃描可以模擬對API的攻擊，以識別潛在的漏洞。在早期開發(fā)過程中檢測API安全性是很重要的，因?yàn)檫@可以幫助在開發(fā)周期的識別和解決合規(guī)問題。

參考鏈接：??https://dzone.com/articles/api-governance-best-practices-and-strategies-for-e??