如今社會隨著互聯(lián)網(wǎng)應(yīng)用領(lǐng)域愈發(fā)寬廣，我們對應(yīng)用程序編程接口 (API) 的依賴也越來越巨大。因為當(dāng)我們開發(fā)應(yīng)用程序時，API可以無縫、流暢且無形地在幕后完成各種任務(wù)，比如從您自己的應(yīng)用程序時向另一個應(yīng)用程序中提取您請求的數(shù)據(jù)。它們是我們生活中非常有用且十分必要的一部分。

但就像所有數(shù)字化事物一樣，API也存在風(fēng)險，因為他們比較容易向網(wǎng)絡(luò)攻擊者暴露漏洞。好消息是您可以采取多種措施來保護(hù)您的API安全。因此，火傘云為大家介紹5個確保API安全的5個良好措施，以促進(jìn)您提升您的API安全。

一、制定強有力的安全策略

WAAP（Web 應(yīng)用程序和 API 保護(hù)）是保護(hù)API的行業(yè)標(biāo)準(zhǔn)，主要是因為：它們易于大規(guī)模部署，且提供全面的安全性。當(dāng)需要評估WAAP產(chǎn)品時，請確保它們包括網(wǎng)絡(luò)機器人管理、WAF（Web 應(yīng)用程序防火墻）以及API和 DDoS 防護(hù)，這可以為您的產(chǎn)品安全策略奠定了良好的基礎(chǔ)。您將獲得全面的保護(hù)，以防范多種類型的網(wǎng)絡(luò)威脅，這些威脅隨時可能襲擊應(yīng)用程序、竊取有價值的數(shù)據(jù)并關(guān)閉您的運營。

二、自動化保護(hù)API安全是一個很好的辦法

雖然基于規(guī)則和策略的安全檢查是API開發(fā)不可或缺的一部分，但需要盡可能納入機器學(xué)習(xí)和自動化，之所以這樣做是因為可以大大節(jié)省時間并防止人為錯誤。基于機器學(xué)習(xí) (ML) 的應(yīng)用程序安全性具有自適應(yīng)性，可以自動檢測和響應(yīng)針對 API 漏洞的攻擊。只需確保在部署新的Web應(yīng)用程序后通過自動策略生成添加它們即可。ML可保護(hù)API免受多種威脅，包括協(xié)議攻擊、參數(shù)篡改、令牌操縱等。

三、檢查您對第三方的安全設(shè)定

在過去的5-10年里，絕大多數(shù)企業(yè)和組織已經(jīng)樹立了數(shù)字化轉(zhuǎn)型的目標(biāo)以及明確了實現(xiàn)數(shù)字化轉(zhuǎn)型的重要性，但如果太過于急于實現(xiàn)這一目標(biāo)而忽視安全就很容易暴露安全漏洞，API的增長有更多此類風(fēng)險。雖然第三方供應(yīng)商（包括云提供商）始終將安全放在首位，但這始終是將安全寄托在他人身上，自己切實做到了解第三方的安全性很重要。首先我們需要了解第三方如何訪問您組織的數(shù)據(jù)，這包含您需要全面了解所有 API 的托管位置、誰可以訪問它們以及它們可以獲取哪些數(shù)據(jù)。雖然市場上有許多API管理工具，但許多工具只是提供可見性和監(jiān)控功能卻并沒有提供太多保護(hù)。API網(wǎng)關(guān)提供IP過濾和基本身份驗證，但無法提供針對攻擊媒介的自動保護(hù)。

四、讓安全團隊引入CI/CD體系

您的安全團隊需要從一開始就參與應(yīng)用程序/API開發(fā)過程。根據(jù)《Web應(yīng)用程序和API保護(hù)狀況》報告，92%的組織的安全人員對CI/CD（持續(xù)集成/持續(xù)部署）的影響有限。而不應(yīng)該等API和應(yīng)用程序開發(fā)完成后，再將安全性職責(zé)強加給安全團隊，DevSecOps從一開始就應(yīng)該是開發(fā)生命周期中不可或缺的組成部分。

五、評估WAAP的相關(guān)關(guān)鍵要素

DevOps和CI/CD管道的引入和依賴已成功使組織能夠高速創(chuàng)建和部署應(yīng)用程序，而不會影響生產(chǎn)力和敏捷性。 同時在評估適合您組織的WAAP解決方案時，還應(yīng)該積極考慮以下關(guān)鍵要素：

1、可視化

確?？梢暬粌H僅停留在API上。該解決方案需要包括性能指標(biāo)，并最終提供360°視圖，讓您了解安全和性能問題，擁有統(tǒng)一管理平臺監(jiān)控和管理儀表板至關(guān)重要。

2、彈性擴展

彈性是定義安全解決方案可擴展性的另一種方式，它需要能夠增長和擴展以滿足您的需求。實現(xiàn)這一目標(biāo)的好方法是擁有允許實現(xiàn)這一目標(biāo)的工具，例如自動學(xué)習(xí)以及策略和配置設(shè)置的高級選項。

3、針對已知和未知威脅的安全性

大多數(shù)解決方案應(yīng)該能夠立即檢測CI/CD管道中新的和更改的應(yīng)用程序，您需要一個能夠自動生成和優(yōu)化安全策略的解決方案。

4、數(shù)據(jù)中心、云環(huán)境等的統(tǒng)一安全性

每個產(chǎn)品架構(gòu)就像一個指紋，沒有兩個組織架構(gòu)是完全相同的，這也是為什么您選擇的解決方案必須適應(yīng)架構(gòu)，無論您的云或數(shù)據(jù)中心環(huán)境如何，您都需要能夠微調(diào)解決方案以滿足您的需求。

5、與現(xiàn)有工具和系統(tǒng)集成

您的安全解決方案與現(xiàn)有工具和系統(tǒng)無縫集成至關(guān)重要，這樣您的安全解決方案才能應(yīng)對破壞應(yīng)用程序、發(fā)布周期和生產(chǎn)力的后果。

審核編輯 黃宇