什么是API网关

什么是API网关

今年的创新沙盒大赛冠军在激烈地角逐中诞生，初创企业Talon Cyber Security公司力克群雄，成功拿下创新沙盒大赛冠军，成为网络安全行业眼中的“明日之星”；Talon Cyber Security公司技术方向为企业提供专有的安全浏览器Talon Work，可为用户提供深度安全可视以及SaaS应用的控制，以求简化未来工作对安全的需求。

什么是API

今年RSA大会的主题是转型（Transform），转型体现在各个方面，从疫情影响下的办公形式、到国际经济形势的变化等，其中也包括当前各行各业数字化转型下企业架构及业务的转型。

以下来自《API驱动数字化转型的5大趋势》中的描述：

数字化转型依赖于企业的整合能力，即将其服务、能力和资产打包到可重复利用的模块化软件中。每个企业都在其系统中储存了有价值的数据，然而要利用好这些价值，就要通过 API 的能力打破数据孤岛，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。

即使一些系统从未设计互通能力，API 也能让开发人员轻松访问并组合不同系统中的数字资产，从而更好地实现整体协同。API 是软件和软件之间进行“对话”的最基本形式，如果将开发人员的经验融入 API 的设计中，（而不是像定制的集成项目那种，经验不可被复制）它们将变得非常强大，从而使开发人员能重复使用数据和系统功能来开发新的应用程序。

什么是API网关

API网关（API Gateway）提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准API服务，借助API网关，可以快速地实现内部系统集成、业务能力开放。

随着业务的发展，API网关也集成越来越多的功能，主要的功能有：

API生命周期管理：包括API的创建、发布、下线和删除的完整生命周期管理功能。通过API生命周期管理功能，您可以快速、高效的开放成熟的业务能力。

响应转换：响应转换是API网关的重要功能，它充当信息的“转换者”，包括协议的转换、格式的转换；比如前端可能是HTTP协议，到后端服务器就采用私有协议，前端为JSON格式请求，转换为后端XML格式的请求，以及请求URI的转换等等。

流量控制及负载均衡：针对不同的业务等级、用户等级，可实施API的请求频率、用户的请求频率、应用的请求频率和源IP的请求频率的管控，用于保障后端服务的稳定运行；并可针对后端服务提供负载均衡的能力。

API安全检测及防护：API为对外提供业务的接口，暴露在外，必然会面临各种各样的安全问题，包括API误用、API滥用、API漏洞入侵、数据泄漏等，需要有API安全检测和防护模块提供相应的安全保障。

什么是API安全

类似Web的安全TOP10一样，OWASP也总结了API安全 Top10，见下表：

OWASP API 安全 Top10 – 2019

Neosec公司引入XDR技术，基于历史API数据的行为和上下文进行威胁分析，通过API进行威胁狩猎及自动化响应编排等。宣称是能防护OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案厂商CequenceSecurity：

Noname Security公司宣称是唯一一个主动保护环境免受API安全漏洞、配置错误和设计缺陷的解决方案厂商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣称是第一个提供全生命周期API安全平台的厂商：

我眼中的API安全

API管理平台通常依赖于传统的安全防护方式，例如身份验证、授权、加密、消息过滤和速率限制。虽然这些都是重要的基础安全功能，但在保护API方面却远远不够。经统计，96%的漏洞发生在经过身份验证的API上。所以，API安全是API业务重要的组成部分的，API安全要重点关注以下几个方面：

API的发现：

可持续的对API使用情况进行检测，发现除了未被注册/登记的API外，还包括被滥用、误用的API。

Bot识别及防护：

Bot不仅可以探测API，爬取数据，还可以通过暴力破解、撞库等直接非法侵入，甚至还可以通过自动化扫描，发现漏洞，进而入侵；以及利用大量的Bot发起DDoS攻击等。

API入侵检测：

检测利用API漏洞的攻击，包括API业务平台的Web服务器及中间件漏洞。

API的数据泄漏检测：

检测通过API传输的敏感数据、隐私数据，防止数据泄漏。

威胁检出只是其中关键功能，还需要考虑API的发现和获取，尤其是当前API几乎都是加密传输情况下，以及检测出攻击、异常后的实时阻断能力。

原文标题：RSAC2022解读丨API安全为数字化转型保驾护航

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。