如今社會(huì)隨著互聯(lián)網(wǎng)應(yīng)用領(lǐng)域愈發(fā)寬廣，我們對(duì)應(yīng)用程序編程接口 (API) 的依賴也越來越巨大。因?yàn)楫?dāng)我們開發(fā)應(yīng)用程序時(shí)，API可以無縫、流暢且無形地在幕后完成各種任務(wù)，比如從您自己的應(yīng)用程序時(shí)向另一個(gè)應(yīng)用程序中提取您請(qǐng)求的數(shù)據(jù)。它們是我們生活中非常有用且十分必要的一部分。

但就像所有數(shù)字化事物一樣，API也存在風(fēng)險(xiǎn)，因?yàn)樗麄儽容^容易向網(wǎng)絡(luò)攻擊者暴露漏洞。好消息是您可以采取多種措施來保護(hù)您的API安全。因此，火傘云為大家介紹5個(gè)確保API安全的5個(gè)良好措施，以促進(jìn)您提升您的API安全。

一、制定強(qiáng)有力的安全策略

WAAP（Web 應(yīng)用程序和 API 保護(hù)）是保護(hù)API的行業(yè)標(biāo)準(zhǔn)，主要是因?yàn)椋核鼈円子诖笠?guī)模部署，且提供全面的安全性。當(dāng)需要評(píng)估WAAP產(chǎn)品時(shí)，請(qǐng)確保它們包括網(wǎng)絡(luò)機(jī)器人管理、WAF（Web 應(yīng)用程序防火墻）以及API和 DDoS 防護(hù)，這可以為您的產(chǎn)品安全策略奠定了良好的基礎(chǔ)。您將獲得全面的保護(hù)，以防范多種類型的網(wǎng)絡(luò)威脅，這些威脅隨時(shí)可能襲擊應(yīng)用程序、竊取有價(jià)值的數(shù)據(jù)并關(guān)閉您的運(yùn)營(yíng)。

二、自動(dòng)化保護(hù)API安全是一個(gè)很好的辦法

雖然基于規(guī)則和策略的安全檢查是API開發(fā)不可或缺的一部分，但需要盡可能納入機(jī)器學(xué)習(xí)和自動(dòng)化，之所以這樣做是因?yàn)榭梢源蟠蠊?jié)省時(shí)間并防止人為錯(cuò)誤。基于機(jī)器學(xué)習(xí) (ML) 的應(yīng)用程序安全性具有自適應(yīng)性，可以自動(dòng)檢測(cè)和響應(yīng)針對(duì) API 漏洞的攻擊。只需確保在部署新的Web應(yīng)用程序后通過自動(dòng)策略生成添加它們即可。ML可保護(hù)API免受多種威脅，包括協(xié)議攻擊、參數(shù)篡改、令牌操縱等。

三、檢查您對(duì)第三方的安全設(shè)定

在過去的5-10年里，絕大多數(shù)企業(yè)和組織已經(jīng)樹立了數(shù)字化轉(zhuǎn)型的目標(biāo)以及明確了實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的重要性，但如果太過于急于實(shí)現(xiàn)這一目標(biāo)而忽視安全就很容易暴露安全漏洞，API的增長(zhǎng)有更多此類風(fēng)險(xiǎn)。雖然第三方供應(yīng)商（包括云提供商）始終將安全放在首位，但這始終是將安全寄托在他人身上，自己切實(shí)做到了解第三方的安全性很重要。首先我們需要了解第三方如何訪問您組織的數(shù)據(jù)，這包含您需要全面了解所有 API 的托管位置、誰(shuí)可以訪問它們以及它們可以獲取哪些數(shù)據(jù)。雖然市場(chǎng)上有許多API管理工具，但許多工具只是提供可見性和監(jiān)控功能卻并沒有提供太多保護(hù)。API網(wǎng)關(guān)提供IP過濾和基本身份驗(yàn)證，但無法提供針對(duì)攻擊媒介的自動(dòng)保護(hù)。

四、讓安全團(tuán)隊(duì)引入CI/CD體系

您的安全團(tuán)隊(duì)需要從一開始就參與應(yīng)用程序/API開發(fā)過程。根據(jù)《Web應(yīng)用程序和API保護(hù)狀況》報(bào)告，92%的組織的安全人員對(duì)CI/CD（持續(xù)集成/持續(xù)部署）的影響有限。而不應(yīng)該等API和應(yīng)用程序開發(fā)完成后，再將安全性職責(zé)強(qiáng)加給安全團(tuán)隊(duì)，DevSecOps從一開始就應(yīng)該是開發(fā)生命周期中不可或缺的組成部分。

五、評(píng)估WAAP的相關(guān)關(guān)鍵要素

DevOps和CI/CD管道的引入和依賴已成功使組織能夠高速創(chuàng)建和部署應(yīng)用程序，而不會(huì)影響生產(chǎn)力和敏捷性。 同時(shí)在評(píng)估適合您組織的WAAP解決方案時(shí)，還應(yīng)該積極考慮以下關(guān)鍵要素：

1、可視化

確保可視化不僅僅停留在API上。該解決方案需要包括性能指標(biāo)，并最終提供360°視圖，讓您了解安全和性能問題，擁有統(tǒng)一管理平臺(tái)監(jiān)控和管理儀表板至關(guān)重要。

2、彈性擴(kuò)展

彈性是定義安全解決方案可擴(kuò)展性的另一種方式，它需要能夠增長(zhǎng)和擴(kuò)展以滿足您的需求。實(shí)現(xiàn)這一目標(biāo)的好方法是擁有允許實(shí)現(xiàn)這一目標(biāo)的工具，例如自動(dòng)學(xué)習(xí)以及策略和配置設(shè)置的高級(jí)選項(xiàng)。

3、針對(duì)已知和未知威脅的安全性

大多數(shù)解決方案應(yīng)該能夠立即檢測(cè)CI/CD管道中新的和更改的應(yīng)用程序，您需要一個(gè)能夠自動(dòng)生成和優(yōu)化安全策略的解決方案。

4、數(shù)據(jù)中心、云環(huán)境等的統(tǒng)一安全性

每個(gè)產(chǎn)品架構(gòu)就像一個(gè)指紋，沒有兩個(gè)組織架構(gòu)是完全相同的，這也是為什么您選擇的解決方案必須適應(yīng)架構(gòu)，無論您的云或數(shù)據(jù)中心環(huán)境如何，您都需要能夠微調(diào)解決方案以滿足您的需求。

5、與現(xiàn)有工具和系統(tǒng)集成

您的安全解決方案與現(xiàn)有工具和系統(tǒng)無縫集成至關(guān)重要，這樣您的安全解決方案才能應(yīng)對(duì)破壞應(yīng)用程序、發(fā)布周期和生產(chǎn)力的后果。

審核編輯 黃宇