什么是API網(wǎng)關(guān)

RSA Conference 2022于舊金山時間6月召開，大會的創(chuàng)新沙盒（Innovation Sandbox）大賽作為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新風(fēng)向標(biāo)，每年都備受矚目。

今年的創(chuàng)新沙盒大賽冠軍在激烈地角逐中誕生，初創(chuàng)企業(yè)Talon Cyber Security公司力克群雄，成功拿下創(chuàng)新沙盒大賽冠軍，成為網(wǎng)絡(luò)安全行業(yè)眼中的“明日之星”；Talon Cyber Security公司技術(shù)方向?yàn)槠髽I(yè)提供專有的安全瀏覽器Talon Work，可為用戶提供深度安全可視以及SaaS應(yīng)用的控制，以求簡化未來工作對安全的需求。

創(chuàng)新沙盒大賽十強(qiáng)中還有一個提供API安全的公司Neosec。說起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闖入十大創(chuàng)新沙盒，當(dāng)前Salt Security已經(jīng)成長為估值達(dá)到14億美金的獨(dú)角獸公司。但2020、2021年API安全在RSAC的創(chuàng)新沙盒中未有露面，有些沉寂，直到2022年又再度露面，說明API安全一直很重要，一直有大量公司在重點(diǎn)投入，那我們今天就看看API安全是什么。

什么是API

API應(yīng)用編程接口（Application Programming Interface）是一組用于構(gòu)建和集成應(yīng)用軟件的定義和協(xié)議。

今年RSA大會的主題是轉(zhuǎn)型（Transform），轉(zhuǎn)型體現(xiàn)在各個方面，從疫情影響下的辦公形式、到國際經(jīng)濟(jì)形勢的變化等，其中也包括當(dāng)前各行各業(yè)數(shù)字化轉(zhuǎn)型下企業(yè)架構(gòu)及業(yè)務(wù)的轉(zhuǎn)型。

以下來自《API驅(qū)動數(shù)字化轉(zhuǎn)型的5大趨勢》中的描述：

數(shù)字化轉(zhuǎn)型依賴于企業(yè)的整合能力，即將其服務(wù)、能力和資產(chǎn)打包到可重復(fù)利用的模塊化軟件中。每個企業(yè)都在其系統(tǒng)中儲存了有價值的數(shù)據(jù)，然而要利用好這些價值，就要通過 API 的能力打破數(shù)據(jù)孤島，讓數(shù)據(jù)在不同環(huán)境中使用，包括將其與合作伙伴及其他第三方有價值的資產(chǎn)結(jié)合起來。

即使一些系統(tǒng)從未設(shè)計(jì)互通能力，API 也能讓開發(fā)人員輕松訪問并組合不同系統(tǒng)中的數(shù)字資產(chǎn)，從而更好地實(shí)現(xiàn)整體協(xié)同。API 是軟件和軟件之間進(jìn)行“對話”的最基本形式，如果將開發(fā)人員的經(jīng)驗(yàn)融入 API 的設(shè)計(jì)中，（而不是像定制的集成項(xiàng)目那種，經(jīng)驗(yàn)不可被復(fù)制）它們將變得非常強(qiáng)大，從而使開發(fā)人員能重復(fù)使用數(shù)據(jù)和系統(tǒng)功能來開發(fā)新的應(yīng)用程序。

API傳輸格式有多種多樣，比如當(dāng)前較流行和被產(chǎn)品遵守的Open API規(guī)范（https://swagger.io/）。

什么是API網(wǎng)關(guān)

API網(wǎng)關(guān)（API Gateway）提供高性能、高可用、高安全的API托管服務(wù)，能快速將企業(yè)服務(wù)能力包裝成標(biāo)準(zhǔn)API服務(wù)，借助API網(wǎng)關(guān)，可以快速地實(shí)現(xiàn)內(nèi)部系統(tǒng)集成、業(yè)務(wù)能力開放。

API網(wǎng)關(guān)負(fù)責(zé)將客戶端的各種請求路由到相應(yīng)的服務(wù)，然后向請求者發(fā)送回復(fù)。API網(wǎng)關(guān)在客戶端和微服務(wù)系統(tǒng)之間維護(hù)安全連接，并管理公司內(nèi)外的API流量和請求，包括身份認(rèn)證、權(quán)限控制、安全檢測、負(fù)載均衡等，同時還需要提供API的生命周期管理。

隨著業(yè)務(wù)的發(fā)展，API網(wǎng)關(guān)也集成越來越多的功能，主要的功能有：

API生命周期管理：包括API的創(chuàng)建、發(fā)布、下線和刪除的完整生命周期管理功能。通過API生命周期管理功能，您可以快速、高效的開放成熟的業(yè)務(wù)能力。

用戶授權(quán)及訪問控制：訪問控制包括對訪問API的用戶進(jìn)行身份驗(yàn)證和授權(quán)檢查，網(wǎng)關(guān)可以使用眾多開放標(biāo)準(zhǔn)來確定消費(fèi)者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非標(biāo)準(zhǔn)方法在消息標(biāo)頭或有效負(fù)載中查找憑據(jù)。訪問控制策略可以限制API的調(diào)用來源IP，可以通過設(shè)置IP地址或帳戶的黑白名單來允許/拒絕某個IP地址或帳戶訪問API。

響應(yīng)轉(zhuǎn)換：響應(yīng)轉(zhuǎn)換是API網(wǎng)關(guān)的重要功能，它充當(dāng)信息的“轉(zhuǎn)換者”，包括協(xié)議的轉(zhuǎn)換、格式的轉(zhuǎn)換；比如前端可能是HTTP協(xié)議，到后端服務(wù)器就采用私有協(xié)議，前端為JSON格式請求，轉(zhuǎn)換為后端XML格式的請求，以及請求URI的轉(zhuǎn)換等等。

流量控制及負(fù)載均衡：針對不同的業(yè)務(wù)等級、用戶等級，可實(shí)施API的請求頻率、用戶的請求頻率、應(yīng)用的請求頻率和源IP的請求頻率的管控，用于保障后端服務(wù)的穩(wěn)定運(yùn)行；并可針對后端服務(wù)提供負(fù)載均衡的能力。

API安全檢測及防護(hù)：API為對外提供業(yè)務(wù)的接口，暴露在外，必然會面臨各種各樣的安全問題，包括API誤用、API濫用、API漏洞入侵、數(shù)據(jù)泄漏等，需要有API安全檢測和防護(hù)模塊提供相應(yīng)的安全保障。

什么是API安全

類似Web的安全TOP10一樣，OWASP也總結(jié)了API安全 Top10，見下表：

OWASP API 安全 Top10 – 2019

隨著API不斷變化及應(yīng)用的越來越廣泛，API的安全問題也會越來越重要，基于API的攻擊也在不斷變化，相應(yīng)的API安全檢測防護(hù)技術(shù)也在不斷變化，已經(jīng)不局限于簡單的通過AI進(jìn)行發(fā)現(xiàn)和異常檢測，在RSA Conference 2022的活動中，除了傳統(tǒng)大的安全公司外，另外有近10家API安全相關(guān)的公司來參展，比如：

Neosec公司引入XDR技術(shù)，基于歷史API數(shù)據(jù)的行為和上下文進(jìn)行威脅分析，通過API進(jìn)行威脅狩獵及自動化響應(yīng)編排等。宣稱是能防護(hù)OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案廠商CequenceSecurity：

While othervendors rave about protecting against the OWASP API Security Top10，CequenceSecurity is the only solution that protects your organization fromevery type of attack on the OWASP API Security Top 10，OWASPWeb Application Security Top 10 and OWASP Automated Threat list.

Noname Security公司宣稱是唯一一個主動保護(hù)環(huán)境免受API安全漏洞、配置錯誤和設(shè)計(jì)缺陷的解決方案廠商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣稱是第一個提供全生命周期API安全平臺的廠商：

Wibis the first full lifecycle API Security platform，witha suite of products covering the entire lifecycle of APIs -development，testingand production.

在RSA大會上出現(xiàn)的還包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等廠家，各個廠家基于不同的技術(shù)，提供不同的差異化API安全檢測和防護(hù)能力，滿足不同場景需求。

我眼中的API安全

API管理平臺通常依賴于傳統(tǒng)的安全防護(hù)方式，例如身份驗(yàn)證、授權(quán)、加密、消息過濾和速率限制。雖然這些都是重要的基礎(chǔ)安全功能，但在保護(hù)API方面卻遠(yuǎn)遠(yuǎn)不夠。經(jīng)統(tǒng)計(jì)，96%的漏洞發(fā)生在經(jīng)過身份驗(yàn)證的API上。所以，API安全是API業(yè)務(wù)重要的組成部分的，API安全要重點(diǎn)關(guān)注以下幾個方面：

API的發(fā)現(xiàn)：

可持續(xù)的對API使用情況進(jìn)行檢測，發(fā)現(xiàn)除了未被注冊/登記的API外，還包括被濫用、誤用的API。

Bot識別及防護(hù)：

Bot不僅可以探測API，爬取數(shù)據(jù)，還可以通過暴力破解、撞庫等直接非法侵入，甚至還可以通過自動化掃描，發(fā)現(xiàn)漏洞，進(jìn)而入侵；以及利用大量的Bot發(fā)起DDoS攻擊等。

API入侵檢測：

檢測利用API漏洞的攻擊，包括API業(yè)務(wù)平臺的Web服務(wù)器及中間件漏洞。

API的數(shù)據(jù)泄漏檢測：

檢測通過API傳輸?shù)拿舾袛?shù)據(jù)、隱私數(shù)據(jù)，防止數(shù)據(jù)泄漏。

威脅檢出只是其中關(guān)鍵功能，還需要考慮API的發(fā)現(xiàn)和獲取，尤其是當(dāng)前API幾乎都是加密傳輸情況下，以及檢測出攻擊、異常后的實(shí)時阻斷能力。

原文標(biāo)題：RSAC2022解讀丨API安全為數(shù)字化轉(zhuǎn)型保駕護(hù)航

文章出處：【微信公眾號：華為數(shù)據(jù)通信】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。