API整體安全策略的6項(xiàng)原則

前言：用戶(hù)體驗(yàn)是應(yīng)用程序的門(mén)面，而API則是企業(yè)的支柱。許多企業(yè)過(guò)去常犯的一個(gè)錯(cuò)誤是將API視為應(yīng)用程序的接口。在本文中，我們將探討全面綜合的API安全方法的6項(xiàng)原則。

01

了解您的API和端點(diǎn)

即使您嘗試，也很有可能無(wú)法立即識(shí)別環(huán)境中的每個(gè)API端點(diǎn)。但不幸的是，您可能無(wú)法對(duì)惡意行為者說(shuō)同樣的話(huà)。如果端點(diǎn)存在，它就可以被用作入侵途徑。

此外，提供公共API還會(huì)讓您接收來(lái)自無(wú)數(shù)客戶(hù)、合作伙伴和應(yīng)用程序的查詢(xún)。這也會(huì)使您的企業(yè)受到攻擊。為了保護(hù)您的企業(yè)免受攻擊，防止出現(xiàn)漏洞和欺詐，需要考慮一些風(fēng)險(xiǎn)控制措施。

02

在創(chuàng)新與安全之間找到平衡

這是一場(chǎng)曠日持久的戰(zhàn)斗。一方面，任何成功企業(yè)的基石都是大膽創(chuàng)新、突破界限、做競(jìng)爭(zhēng)對(duì)手做不到的事情。但另一方面，保持安全并不總是與最新的創(chuàng)新相匹配。

為每種類(lèi)型的API設(shè)計(jì)API治理策略，以便設(shè)置適當(dāng)?shù)陌踩刂拼胧?/p>

實(shí)施在部署API的任何地方都能一致執(zhí)行的API安全策略。

利用AI以應(yīng)對(duì)新出現(xiàn)的威脅、異常行為以及試圖利用或?yàn)E用API的惡意用戶(hù)，從而減少安全團(tuán)隊(duì)的負(fù)擔(dān)。

根據(jù)您所在的行業(yè)，合規(guī)性標(biāo)準(zhǔn)會(huì)有所不同，有些要求相比其他行業(yè)而言，安全性需求更為嚴(yán)格。無(wú)論如何，API安全態(tài)勢(shì)必須足夠強(qiáng)大，能夠面對(duì)一連串的威脅載體。

03

在整個(gè)開(kāi)發(fā)周期內(nèi)管控風(fēng)險(xiǎn)

API安全測(cè)試并非一次性試驗(yàn)。在部署前、部署期間以及部署后進(jìn)行測(cè)試都至關(guān)重要。您可以通過(guò)在開(kāi)發(fā)的每個(gè)階段開(kāi)展測(cè)試，獲得更多機(jī)會(huì)，以在漏洞發(fā)生之前發(fā)現(xiàn)弱點(diǎn)和漏洞。雖然特定的安全測(cè)試工具十分有效，但切勿忘記安全用例建模。

04

從后端到終端客戶(hù)的層層保護(hù)

從外部客戶(hù)端到內(nèi)部、后端基礎(chǔ)設(shè)施，架構(gòu)的每部分都必須有各自的保護(hù)措施。

在考慮API層的保護(hù)問(wèn)題時(shí)，首先將API分為“內(nèi)部和外部”這兩類(lèi)十分有用。內(nèi)部API的安全更直接，因?yàn)锳PI提供者可以與應(yīng)用團(tuán)隊(duì)協(xié)調(diào)安全措施。對(duì)于外部API，風(fēng)險(xiǎn)計(jì)算有些不同。但這并不意味著您運(yùn)氣不佳。您仍然可以（且應(yīng)該）實(shí)施API級(jí)別的保護(hù)，只需采取下列三項(xiàng)行動(dòng)：

通過(guò)實(shí)時(shí)威脅情報(bào)和訪(fǎng)問(wèn)控制機(jī)制（例如加固的會(huì)話(huà)令牌），減少安全漏洞的機(jī)會(huì)。

建立正常和異常的流量模式基線(xiàn)。

限制API使用，并對(duì)任何獲批的聚合商提供精細(xì)控制。

在生產(chǎn)層面，來(lái)自API蔓延的巨大流量使得有必要使用人工智能來(lái)檢測(cè)異常行為和惡意用戶(hù)。

05

擁有適當(dāng)?shù)牟呗院凸ぞ?/strong>

就像沒(méi)有一種食物能讓我們獲得充分營(yíng)養(yǎng)一樣，沒(méi)有一種安全工具能完全保護(hù)API。相反，作為整體安全架構(gòu)的一部分，您需要制定一項(xiàng)策略，部署全面的工具生態(tài)系統(tǒng)。

應(yīng)考慮的工具包括：

·API網(wǎng)關(guān)

·應(yīng)用安全測(cè)試（SAST和DAST）

·WAF

·Bot管理

此外，API發(fā)現(xiàn)和微分段是重要的生態(tài)系統(tǒng)能力。

06

將安全性納入開(kāi)發(fā)和部署流水線(xiàn)

您可能已經(jīng)了解到，由于技術(shù)、層、設(shè)計(jì)和所用API的上下文多樣性，API安全可能變得十分復(fù)雜。不過(guò)，有些方法可以減輕這種復(fù)雜性。

當(dāng)您接近API安全態(tài)勢(shì)時(shí)，首先退后一步，了解一下全局。

安全需要在應(yīng)用本身的同一連續(xù)生命周期中運(yùn)行，這意味著要與CI/CD流水線(xiàn)、服務(wù)預(yù)配和事件監(jiān)控生態(tài)系統(tǒng)緊密集成。

此外，屢試不爽的安全實(shí)踐仍然適用-默認(rèn)拒絕架構(gòu)、強(qiáng)加密和最低權(quán)限訪(fǎng)問(wèn)。