API安全为数字化转型保驾护航

李世光

华为安全应用组件架构师

今年的创新沙盒大赛冠军在激烈地角逐中诞生，初创企业Talon Cyber Security公司力克群雄，成功拿下创新沙盒大赛冠军，成为网络安全行业眼中的“明日之星”；Talon Cyber Security公司技术方向为企业提供专有的安全浏览器Talon Work，可为用户提供深度安全可视以及SaaS应用的控制，以求简化未来工作对安全的需求。

创新沙盒大赛十强中还有一个提供API安全的公司Neosec。说起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闯入十大创新沙盒，当前Salt Security已经成长为估值达到14亿美金的独角兽公司。但2020、2021年API安全在RSAC的创新沙盒中未有露面，有些沉寂，直到2022年又再度露面，说明API安全一直很重要，一直有大量公司在重点投入，那我们今天就看看API安全是什么。

什么是API

API应用编程接口（Application Programming Interface）是一组用于构建和集成应用软件的定义和协议。

今年RSA大会的主题是转型（Transform），转型体现在各个方面，从疫情影响下的办公形式、到国际经济形势的变化等，其中也包括当前各行各业数字化转型下企业架构及业务的转型。

以下来自《API驱动数字化转型的5大趋势》中的描述：

数字化转型依赖于企业的整合能力，即将其服务、能力和资产打包到可重复利用的模块化软件中。每个企业都在其系统中储存了有价值的数据，然而要利用好这些价值，就要通过 API 的能力打破数据孤岛，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。

即使一些系统从未设计互通能力，API 也能让开发人员轻松访问并组合不同系统中的数字资产，从而更好地实现整体协同。API 是软件和软件之间进行“对话”的最基本形式，如果将开发人员的经验融入 API 的设计中，（而不是像定制的集成项目那种，经验不可被复制）它们将变得非常强大，从而使开发人员能重复使用数据和系统功能来开发新的应用程序。

API传输格式有多种多样，比如当前较流行和被产品遵守的Open API规范（https://swagger.io/）。

什么是API网关

API网关（API Gateway）提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准API服务，借助API网关，可以快速地实现内部系统集成、业务能力开放。

API网关负责将客户端的各种请求路由到相应的服务，然后向请求者发送回复。API网关在客户端和微服务系统之间维护安全连接，并管理公司内外的API流量和请求，包括身份认证、权限控制、安全检测、负载均衡等，同时还需要提供API的生命周期管理。

随着业务的发展，API网关也集成越来越多的功能，主要的功能有：

API生命周期管理：包括API的创建、发布、下线和删除的完整生命周期管理功能。通过API生命周期管理功能，您可以快速、高效的开放成熟的业务能力。

用户授权及访问控制：访问控制包括对访问API的用户进行身份验证和授权检查，网关可以使用众多开放标准来确定消费者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非标准方法在消息标头或有效负载中查找凭据。访问控制策略可以限制API的调用来源IP，可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

响应转换：响应转换是API网关的重要功能，它充当信息的“转换者”，包括协议的转换、格式的转换；比如前端可能是HTTP协议，到后端服务器就采用私有协议，前端为JSON格式请求，转换为后端XML格式的请求，以及请求URI的转换等等。

流量控制及负载均衡：针对不同的业务等级、用户等级，可实施API的请求频率、用户的请求频率、应用的请求频率和源IP的请求频率的管控，用于保障后端服务的稳定运行；并可针对后端服务提供负载均衡的能力。

API安全检测及防护：API为对外提供业务的接口，暴露在外，必然会面临各种各样的安全问题，包括API误用、API滥用、API漏洞入侵、数据泄漏等，需要有API安全检测和防护模块提供相应的安全保障。

什么是API安全

类似Web的安全TOP10一样，OWASP也总结了API安全 Top10，见下表：

OWASP API 安全 Top 10 – 2019

随着API不断变化及应用的越来越广泛，API的安全问题也会越来越重要，基于API的攻击也在不断变化，相应的API安全检测防护技术也在不断变化，已经不局限于简单的通过AI进行发现和异常检测，在RSA Conference 2022的活动中，除了传统大的安全公司外，另外有近10家API安全相关的公司来参展，比如：Neosec公司引入XDR技术，基于历史API数据的行为和上下文进行威胁分析，通过API进行威胁狩猎及自动化响应编排等。宣称是能防护OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案厂商CequenceSecurity。Noname Security公司宣称是唯一一个主动保护环境免受API安全漏洞、配置错误和设计缺陷的解决方案厂商。Wib公司宣称是第一个提供全生命周期API安全平台的厂商。

在RSA大会上出现的还包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等厂家，各个厂家基于不同的技术，提供不同的差异化API安全检测和防护能力，满足不同场景需求。

我眼中的API安全

API管理平台通常依赖于传统的安全防护方式，例如身份验证、授权、加密、消息过滤和速率限制。虽然这些都是重要的基础安全功能，但在保护API方面却远远不够。经统计，96%的漏洞发生在经过身份验证的API上。所以，API安全是API业务重要的组成部分的，API安全要重点关注以下几个方面：

API的发现：

Bot识别及防护：

Bot不仅可以探测API，爬取数据，还可以通过暴力破解、撞库等直接非法侵入，甚至还可以通过自动化扫描，发现漏洞，进而入侵；以及利用大量的Bot发起DDoS攻击等。

API入侵检测：

检测利用API漏洞的攻击，包括API业务平台的Web服务器及中间件漏洞。

API的数据泄漏检测：

检测通过API传输的敏感数据、隐私数据，防止数据泄漏。

威胁检出只是其中关键功能，还需要考虑API的发现和获取，尤其是当前API几乎都是加密传输情况下，以及检测出攻击、异常后的实时阻断能力。

免责声明：文章内容和观点仅代表作者本人观点，供读者思想碰撞与技术交流参考，不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情，请访问产品与技术介绍页面或咨询华为公司人员。