為何要采用應(yīng)用和API安全一體化戰(zhàn)略？

前言：了解應(yīng)用和API安全之間的主要區(qū)別，以及為何一體化戰(zhàn)略才是未來的趨勢。了解共同的風險、獨特的挑戰(zhàn)，以及如何結(jié)合解決方案來簡化操作和提高響應(yīng)速度。

顯而易見的一點是，應(yīng)用和API安全變得愈發(fā)專業(yè)化。API不再僅僅是基于URI的應(yīng)用入口。API已經(jīng)發(fā)生演變，成為了一種有自身安全需求的獨立實體。

這些安全需求大多與API交互的性質(zhì)有關(guān)。換言之，API需要按事務(wù)進行授權(quán)。這點與應(yīng)用明顯不同，應(yīng)用通常按會話進行授權(quán)。

API的交互率也較高，并伴有一些其他特點，致使保護API這件事面臨著一些獨特挑戰(zhàn)。

應(yīng)用和API的比較，展現(xiàn)了因為哪些不同之處而造成了安全需求差異。

盡管如此，應(yīng)用和API也存在著共同的安全風險，在實施安全解決方案時也需要對這些風險加以考慮。例如，最近更新的《2023年十大API安全風險清單》就明確提及了一組與應(yīng)用共有的次要風險類別：

身份驗證/授權(quán)控制薄弱

配置錯誤

業(yè)務(wù)邏輯濫用（撞庫攻擊或帳戶接管）

服務(wù)端請求偽造（SSRF）

《2023年十大API安全風險清單》：https://owasp.org/www-project-api-security/

除了這些風險外，還有大量針對可用性的攻擊，也就是應(yīng)用和API都會遇到的DDoS攻擊，因為它們通常都依賴于TCP和HTTP，而這兩者都會受到各種旨在破壞訪問和可用性的攻擊。

為解決保護應(yīng)用、API和基礎(chǔ)設(shè)施（為兩者提供支持）安全挑戰(zhàn)的一種方法是部署多種解決方案：Bot和欺詐防御、DDoS防護、應(yīng)用安全和API安全。這種做法固然能解決安全挑戰(zhàn)，但也帶來了運營挑戰(zhàn)，使許多安全相關(guān)任務(wù)變得更加復(fù)雜，例如策略變更管理和應(yīng)對威脅（同時影響應(yīng)用和API）。復(fù)雜性不僅會阻礙安全性，同時也會制約速度。

根據(jù)《2023年應(yīng)用策略現(xiàn)狀報告》，及時應(yīng)對新出現(xiàn)的威脅是采用安全即服務(wù)的首要驅(qū)動因素。每個解決方案都需要修復(fù)、更新或部署新策略來緩解新出現(xiàn)的威脅，這種做法不僅耗時，同時也增加了配置錯誤或失誤的幾率。因此，緩解威脅的時間會隨著復(fù)雜性的增加而延長，特別是當企業(yè)在多個環(huán)境（混合IT）中運行并利用每個環(huán)境的安全解決方案時。使用數(shù)學(xué)公式來計算時間是線性還是指數(shù)增長其實毫無意義，原因在于時間的延長對應(yīng)對迫在眉睫的威脅本身就是一種最大的阻礙。

因此，更妥善的一種方法是將解決方案結(jié)合起來，從而共享操作和安全管理，獲得專門應(yīng)對威脅的功能，同時允許采用特定的安全策略來處理應(yīng)用和API特有的協(xié)議和有效負載。

這就需要制定應(yīng)用和API安全一體化戰(zhàn)略，在共享通用功能的同時，可以提高應(yīng)用或API的粒度和專業(yè)性。究其根本，Bot對數(shù)據(jù)質(zhì)量、交付成本及對應(yīng)用和API風險狀況帶來的影響會成為一類問題。DDoS同樣如此。為解決同樣的問題而部署雙倍數(shù)量的服務(wù)，在所有衡量標準中都不能稱之為高效。

無論是從運營層面，還是從經(jīng)濟和架構(gòu)層面來看，采用應(yīng)用和API安全一體化戰(zhàn)略都不失為一項明智之舉。