RSA Conference 2022于舊金山時間6月召開，大會的創(chuàng)新沙盒（Innovation Sandbox）大賽作為全球網(wǎng)絡安全行業(yè)技術創(chuàng)新風向標，每年都備受矚目。

今年的創(chuàng)新沙盒大賽冠軍在激烈地角逐中誕生，初創(chuàng)企業(yè)Talon Cyber Security公司力克群雄，成功拿下創(chuàng)新沙盒大賽冠軍，成為網(wǎng)絡安全行業(yè)眼中的“明日之星”；Talon Cyber Security公司技術方向為企業(yè)提供專有的安全瀏覽器Talon Work，可為用戶提供深度安全可視以及SaaS應用的控制，以求簡化未來工作對安全的需求。

創(chuàng)新沙盒大賽十強中還有一個提供API安全的公司Neosec。說起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闖入十大創(chuàng)新沙盒，當前Salt Security已經(jīng)成長為估值達到14億美金的獨角獸公司。但2020、2021年API安全在RSAC的創(chuàng)新沙盒中未有露面，有些沉寂，直到2022年又再度露面，說明API安全一直很重要，一直有大量公司在重點投入，那我們今天就看看API安全是什么。

什么是API

API應用編程接口（Application Programming Interface）是一組用于構建和集成應用軟件的定義和協(xié)議。

今年RSA大會的主題是轉型（Transform），轉型體現(xiàn)在各個方面，從疫情影響下的辦公形式、到國際經(jīng)濟形勢的變化等，其中也包括當前各行各業(yè)數(shù)字化轉型下企業(yè)架構及業(yè)務的轉型。

以下來自《API驅動數(shù)字化轉型的5大趨勢》中的描述：

數(shù)字化轉型依賴于企業(yè)的整合能力，即將其服務、能力和資產(chǎn)打包到可重復利用的模塊化軟件中。每個企業(yè)都在其系統(tǒng)中儲存了有價值的數(shù)據(jù)，然而要利用好這些價值，就要通過 API 的能力打破數(shù)據(jù)孤島，讓數(shù)據(jù)在不同環(huán)境中使用，包括將其與合作伙伴及其他第三方有價值的資產(chǎn)結合起來。

即使一些系統(tǒng)從未設計互通能力，API 也能讓開發(fā)人員輕松訪問并組合不同系統(tǒng)中的數(shù)字資產(chǎn)，從而更好地實現(xiàn)整體協(xié)同。API 是軟件和軟件之間進行“對話”的最基本形式，如果將開發(fā)人員的經(jīng)驗融入 API 的設計中，（而不是像定制的集成項目那種，經(jīng)驗不可被復制）它們將變得非常強大，從而使開發(fā)人員能重復使用數(shù)據(jù)和系統(tǒng)功能來開發(fā)新的應用程序。

API傳輸格式有多種多樣，比如當前較流行和被產(chǎn)品遵守的Open API規(guī)范（https://swagger.io/）。

什么是API網(wǎng)關

API網(wǎng)關（API Gateway）提供高性能、高可用、高安全的API托管服務，能快速將企業(yè)服務能力包裝成標準API服務，借助API網(wǎng)關，可以快速地實現(xiàn)內(nèi)部系統(tǒng)集成、業(yè)務能力開放。

API網(wǎng)關負責將客戶端的各種請求路由到相應的服務，然后向請求者發(fā)送回復。API網(wǎng)關在客戶端和微服務系統(tǒng)之間維護安全連接，并管理公司內(nèi)外的API流量和請求，包括身份認證、權限控制、安全檢測、負載均衡等，同時還需要提供API的生命周期管理。

隨著業(yè)務的發(fā)展，API網(wǎng)關也集成越來越多的功能，主要的功能有：

API生命周期管理：包括API的創(chuàng)建、發(fā)布、下線和刪除的完整生命周期管理功能。通過API生命周期管理功能，您可以快速、高效的開放成熟的業(yè)務能力。

用戶授權及訪問控制：訪問控制包括對訪問API的用戶進行身份驗證和授權檢查，網(wǎng)關可以使用眾多開放標準來確定消費者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非標準方法在消息標頭或有效負載中查找憑據(jù)。訪問控制策略可以限制API的調(diào)用來源IP，可以通過設置IP地址或帳戶的黑白名單來允許/拒絕某個IP地址或帳戶訪問API。

響應轉換：響應轉換是API網(wǎng)關的重要功能，它充當信息的“轉換者”，包括協(xié)議的轉換、格式的轉換；比如前端可能是HTTP協(xié)議，到后端服務器就采用私有協(xié)議，前端為JSON格式請求，轉換為后端XML格式的請求，以及請求URI的轉換等等。

流量控制及負載均衡：針對不同的業(yè)務等級、用戶等級，可實施API的請求頻率、用戶的請求頻率、應用的請求頻率和源IP的請求頻率的管控，用于保障后端服務的穩(wěn)定運行；并可針對后端服務提供負載均衡的能力。

API安全檢測及防護：API為對外提供業(yè)務的接口，暴露在外，必然會面臨各種各樣的安全問題，包括API誤用、API濫用、API漏洞入侵、數(shù)據(jù)泄漏等，需要有API安全檢測和防護模塊提供相應的安全保障。

什么是API安全

類似Web的安全TOP10一樣，OWASP也總結了API安全 Top10，見下表：

OWASP API 安全 Top10 – 2019

隨著API不斷變化及應用的越來越廣泛，API的安全問題也會越來越重要，基于API的攻擊也在不斷變化，相應的API安全檢測防護技術也在不斷變化，已經(jīng)不局限于簡單的通過AI進行發(fā)現(xiàn)和異常檢測，在RSA Conference 2022的活動中，除了傳統(tǒng)大的安全公司外，另外有近10家API安全相關的公司來參展，比如：

Neosec公司引入XDR技術，基于歷史API數(shù)據(jù)的行為和上下文進行威脅分析，通過API進行威脅狩獵及自動化響應編排等。宣稱是能防護OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案廠商CequenceSecurity：

While othervendors rave about protecting against the OWASP API Security Top10，CequenceSecurity is the only solution that protects your organization fromevery type of attack on the OWASP API Security Top 10，OWASPWeb Application Security Top 10 and OWASP Automated Threat list.

Noname Security公司宣稱是唯一一個主動保護環(huán)境免受API安全漏洞、配置錯誤和設計缺陷的解決方案廠商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣稱是第一個提供全生命周期API安全平臺的廠商：

Wibis the first full lifecycle API Security platform，witha suite of products covering the entire lifecycle of APIs -development，testingand production.

在RSA大會上出現(xiàn)的還包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等廠家，各個廠家基于不同的技術，提供不同的差異化API安全檢測和防護能力，滿足不同場景需求。

我眼中的API安全

API管理平臺通常依賴于傳統(tǒng)的安全防護方式，例如身份驗證、授權、加密、消息過濾和速率限制。雖然這些都是重要的基礎安全功能，但在保護API方面卻遠遠不夠。經(jīng)統(tǒng)計，96%的漏洞發(fā)生在經(jīng)過身份驗證的API上。所以，API安全是API業(yè)務重要的組成部分的，API安全要重點關注以下幾個方面：

API的發(fā)現(xiàn)：

可持續(xù)的對API使用情況進行檢測，發(fā)現(xiàn)除了未被注冊/登記的API外，還包括被濫用、誤用的API。

Bot識別及防護：

Bot不僅可以探測API，爬取數(shù)據(jù)，還可以通過暴力破解、撞庫等直接非法侵入，甚至還可以通過自動化掃描，發(fā)現(xiàn)漏洞，進而入侵；以及利用大量的Bot發(fā)起DDoS攻擊等。

API入侵檢測：

檢測利用API漏洞的攻擊，包括API業(yè)務平臺的Web服務器及中間件漏洞。

API的數(shù)據(jù)泄漏檢測：

檢測通過API傳輸?shù)拿舾袛?shù)據(jù)、隱私數(shù)據(jù)，防止數(shù)據(jù)泄漏。

威脅檢出只是其中關鍵功能，還需要考慮API的發(fā)現(xiàn)和獲取，尤其是當前API幾乎都是加密傳輸情況下，以及檢測出攻擊、異常后的實時阻斷能力。

原文標題：RSAC2022解讀丨API安全為數(shù)字化轉型保駕護航

文章出處：【微信公眾號：華為數(shù)據(jù)通信】歡迎添加關注！文章轉載請注明出處。