為何要采用應用和API安全一體化戰(zhàn)略？

前言：了解應用和API安全之間的主要區(qū)別，以及為何一體化戰(zhàn)略才是未來的趨勢。了解共同的風險、獨特的挑戰(zhàn)，以及如何結合解決方案來簡化操作和提高響應速度。

顯而易見的一點是，應用和API安全變得愈發(fā)專業(yè)化。API不再僅僅是基于URI的應用入口。API已經發(fā)生演變，成為了一種有自身安全需求的獨立實體。

這些安全需求大多與API交互的性質有關。換言之，API需要按事務進行授權。這點與應用明顯不同，應用通常按會話進行授權。

API的交互率也較高，并伴有一些其他特點，致使保護API這件事面臨著一些獨特挑戰(zhàn)。

應用和API的比較，展現了因為哪些不同之處而造成了安全需求差異。

盡管如此，應用和API也存在著共同的安全風險，在實施安全解決方案時也需要對這些風險加以考慮。例如，最近更新的《2023年十大API安全風險清單》就明確提及了一組與應用共有的次要風險類別：

身份驗證/授權控制薄弱

配置錯誤

業(yè)務邏輯濫用（撞庫攻擊或帳戶接管）

服務端請求偽造（SSRF）

《2023年十大API安全風險清單》：https://owasp.org/www-project-api-security/

除了這些風險外，還有大量針對可用性的攻擊，也就是應用和API都會遇到的DDoS攻擊，因為它們通常都依賴于TCP和HTTP，而這兩者都會受到各種旨在破壞訪問和可用性的攻擊。

為解決保護應用、API和基礎設施（為兩者提供支持）安全挑戰(zhàn)的一種方法是部署多種解決方案：Bot和欺詐防御、DDoS防護、應用安全和API安全。這種做法固然能解決安全挑戰(zhàn)，但也帶來了運營挑戰(zhàn)，使許多安全相關任務變得更加復雜，例如策略變更管理和應對威脅（同時影響應用和API）。復雜性不僅會阻礙安全性，同時也會制約速度。

根據《2023年應用策略現狀報告》，及時應對新出現的威脅是采用安全即服務的首要驅動因素。每個解決方案都需要修復、更新或部署新策略來緩解新出現的威脅，這種做法不僅耗時，同時也增加了配置錯誤或失誤的幾率。因此，緩解威脅的時間會隨著復雜性的增加而延長，特別是當企業(yè)在多個環(huán)境（混合IT）中運行并利用每個環(huán)境的安全解決方案時。使用數學公式來計算時間是線性還是指數增長其實毫無意義，原因在于時間的延長對應對迫在眉睫的威脅本身就是一種最大的阻礙。

因此，更妥善的一種方法是將解決方案結合起來，從而共享操作和安全管理，獲得專門應對威脅的功能，同時允許采用特定的安全策略來處理應用和API特有的協(xié)議和有效負載。

這就需要制定應用和API安全一體化戰(zhàn)略，在共享通用功能的同時，可以提高應用或API的粒度和專業(yè)性。究其根本，Bot對數據質量、交付成本及對應用和API風險狀況帶來的影響會成為一類問題。DDoS同樣如此。為解決同樣的問題而部署雙倍數量的服務，在所有衡量標準中都不能稱之為高效。

無論是從運營層面，還是從經濟和架構層面來看，采用應用和API安全一體化戰(zhàn)略都不失為一項明智之舉。