RSA Conference 2022于舊金山時(shí)間6月召開，大會(huì)的創(chuàng)新沙盒（Innovation Sandbox）大賽作為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新風(fēng)向標(biāo)，每年都備受矚目。

今年的創(chuàng)新沙盒大賽冠軍在激烈地角逐中誕生，初創(chuàng)企業(yè)Talon Cyber Security公司力克群雄，成功拿下創(chuàng)新沙盒大賽冠軍，成為網(wǎng)絡(luò)安全行業(yè)眼中的“明日之星”；Talon Cyber Security公司技術(shù)方向?yàn)槠髽I(yè)提供專有的安全瀏覽器Talon Work，可為用戶提供深度安全可視以及SaaS應(yīng)用的控制，以求簡(jiǎn)化未來工作對(duì)安全的需求。

創(chuàng)新沙盒大賽十強(qiáng)中還有一個(gè)提供API安全的公司Neosec。說起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闖入十大創(chuàng)新沙盒，當(dāng)前Salt Security已經(jīng)成長(zhǎng)為估值達(dá)到14億美金的獨(dú)角獸公司。但2020、2021年API安全在RSAC的創(chuàng)新沙盒中未有露面，有些沉寂，直到2022年又再度露面，說明API安全一直很重要，一直有大量公司在重點(diǎn)投入，那我們今天就看看API安全是什么。

什么是API

API應(yīng)用編程接口（Application Programming Interface）是一組用于構(gòu)建和集成應(yīng)用軟件的定義和協(xié)議。

今年RSA大會(huì)的主題是轉(zhuǎn)型（Transform），轉(zhuǎn)型體現(xiàn)在各個(gè)方面，從疫情影響下的辦公形式、到國際經(jīng)濟(jì)形勢(shì)的變化等，其中也包括當(dāng)前各行各業(yè)數(shù)字化轉(zhuǎn)型下企業(yè)架構(gòu)及業(yè)務(wù)的轉(zhuǎn)型。

以下來自《API驅(qū)動(dòng)數(shù)字化轉(zhuǎn)型的5大趨勢(shì)》中的描述：

數(shù)字化轉(zhuǎn)型依賴于企業(yè)的整合能力，即將其服務(wù)、能力和資產(chǎn)打包到可重復(fù)利用的模塊化軟件中。每個(gè)企業(yè)都在其系統(tǒng)中儲(chǔ)存了有價(jià)值的數(shù)據(jù)，然而要利用好這些價(jià)值，就要通過 API 的能力打破數(shù)據(jù)孤島，讓數(shù)據(jù)在不同環(huán)境中使用，包括將其與合作伙伴及其他第三方有價(jià)值的資產(chǎn)結(jié)合起來。

即使一些系統(tǒng)從未設(shè)計(jì)互通能力，API 也能讓開發(fā)人員輕松訪問并組合不同系統(tǒng)中的數(shù)字資產(chǎn)，從而更好地實(shí)現(xiàn)整體協(xié)同。API 是軟件和軟件之間進(jìn)行“對(duì)話”的最基本形式，如果將開發(fā)人員的經(jīng)驗(yàn)融入 API 的設(shè)計(jì)中，（而不是像定制的集成項(xiàng)目那種，經(jīng)驗(yàn)不可被復(fù)制）它們將變得非常強(qiáng)大，從而使開發(fā)人員能重復(fù)使用數(shù)據(jù)和系統(tǒng)功能來開發(fā)新的應(yīng)用程序。

API傳輸格式有多種多樣，比如當(dāng)前較流行和被產(chǎn)品遵守的Open API規(guī)范（https://swagger.io/）。

什么是API網(wǎng)關(guān)

API網(wǎng)關(guān)（API Gateway）提供高性能、高可用、高安全的API托管服務(wù)，能快速將企業(yè)服務(wù)能力包裝成標(biāo)準(zhǔn)API服務(wù)，借助API網(wǎng)關(guān)，可以快速地實(shí)現(xiàn)內(nèi)部系統(tǒng)集成、業(yè)務(wù)能力開放。

API網(wǎng)關(guān)負(fù)責(zé)將客戶端的各種請(qǐng)求路由到相應(yīng)的服務(wù)，然后向請(qǐng)求者發(fā)送回復(fù)。API網(wǎng)關(guān)在客戶端和微服務(wù)系統(tǒng)之間維護(hù)安全連接，并管理公司內(nèi)外的API流量和請(qǐng)求，包括身份認(rèn)證、權(quán)限控制、安全檢測(cè)、負(fù)載均衡等，同時(shí)還需要提供API的生命周期管理。

隨著業(yè)務(wù)的發(fā)展，API網(wǎng)關(guān)也集成越來越多的功能，主要的功能有：

API生命周期管理：包括API的創(chuàng)建、發(fā)布、下線和刪除的完整生命周期管理功能。通過API生命周期管理功能，您可以快速、高效的開放成熟的業(yè)務(wù)能力。

用戶授權(quán)及訪問控制：訪問控制包括對(duì)訪問API的用戶進(jìn)行身份驗(yàn)證和授權(quán)檢查，網(wǎng)關(guān)可以使用眾多開放標(biāo)準(zhǔn)來確定消費(fèi)者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非標(biāo)準(zhǔn)方法在消息標(biāo)頭或有效負(fù)載中查找憑據(jù)。訪問控制策略可以限制API的調(diào)用來源IP，可以通過設(shè)置IP地址或帳戶的黑白名單來允許/拒絕某個(gè)IP地址或帳戶訪問API。

響應(yīng)轉(zhuǎn)換：響應(yīng)轉(zhuǎn)換是API網(wǎng)關(guān)的重要功能，它充當(dāng)信息的“轉(zhuǎn)換者”，包括協(xié)議的轉(zhuǎn)換、格式的轉(zhuǎn)換；比如前端可能是HTTP協(xié)議，到后端服務(wù)器就采用私有協(xié)議，前端為JSON格式請(qǐng)求，轉(zhuǎn)換為后端XML格式的請(qǐng)求，以及請(qǐng)求URI的轉(zhuǎn)換等等。

流量控制及負(fù)載均衡：針對(duì)不同的業(yè)務(wù)等級(jí)、用戶等級(jí)，可實(shí)施API的請(qǐng)求頻率、用戶的請(qǐng)求頻率、應(yīng)用的請(qǐng)求頻率和源IP的請(qǐng)求頻率的管控，用于保障后端服務(wù)的穩(wěn)定運(yùn)行；并可針對(duì)后端服務(wù)提供負(fù)載均衡的能力。

API安全檢測(cè)及防護(hù)：API為對(duì)外提供業(yè)務(wù)的接口，暴露在外，必然會(huì)面臨各種各樣的安全問題，包括API誤用、API濫用、API漏洞入侵、數(shù)據(jù)泄漏等，需要有API安全檢測(cè)和防護(hù)模塊提供相應(yīng)的安全保障。

什么是API安全

類似Web的安全TOP10一樣，OWASP也總結(jié)了API安全 Top10，見下表：

OWASP API 安全 Top10 – 2019

隨著API不斷變化及應(yīng)用的越來越廣泛，API的安全問題也會(huì)越來越重要，基于API的攻擊也在不斷變化，相應(yīng)的API安全檢測(cè)防護(hù)技術(shù)也在不斷變化，已經(jīng)不局限于簡(jiǎn)單的通過AI進(jìn)行發(fā)現(xiàn)和異常檢測(cè)，在RSA Conference 2022的活動(dòng)中，除了傳統(tǒng)大的安全公司外，另外有近10家API安全相關(guān)的公司來參展，比如：

Neosec公司引入XDR技術(shù)，基于歷史API數(shù)據(jù)的行為和上下文進(jìn)行威脅分析，通過API進(jìn)行威脅狩獵及自動(dòng)化響應(yīng)編排等。宣稱是能防護(hù)OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案廠商CequenceSecurity：

While othervendors rave about protecting against the OWASP API Security Top10，CequenceSecurity is the only solution that protects your organization fromevery type of attack on the OWASP API Security Top 10，OWASPWeb Application Security Top 10 and OWASP Automated Threat list.

Noname Security公司宣稱是唯一一個(gè)主動(dòng)保護(hù)環(huán)境免受API安全漏洞、配置錯(cuò)誤和設(shè)計(jì)缺陷的解決方案廠商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣稱是第一個(gè)提供全生命周期API安全平臺(tái)的廠商：

Wibis the first full lifecycle API Security platform，witha suite of products covering the entire lifecycle of APIs -development，testingand production.

在RSA大會(huì)上出現(xiàn)的還包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等廠家，各個(gè)廠家基于不同的技術(shù)，提供不同的差異化API安全檢測(cè)和防護(hù)能力，滿足不同場(chǎng)景需求。

我眼中的API安全

API管理平臺(tái)通常依賴于傳統(tǒng)的安全防護(hù)方式，例如身份驗(yàn)證、授權(quán)、加密、消息過濾和速率限制。雖然這些都是重要的基礎(chǔ)安全功能，但在保護(hù)API方面卻遠(yuǎn)遠(yuǎn)不夠。經(jīng)統(tǒng)計(jì)，96%的漏洞發(fā)生在經(jīng)過身份驗(yàn)證的API上。所以，API安全是API業(yè)務(wù)重要的組成部分的，API安全要重點(diǎn)關(guān)注以下幾個(gè)方面：

API的發(fā)現(xiàn)：

可持續(xù)的對(duì)API使用情況進(jìn)行檢測(cè)，發(fā)現(xiàn)除了未被注冊(cè)/登記的API外，還包括被濫用、誤用的API。

Bot識(shí)別及防護(hù)：

Bot不僅可以探測(cè)API，爬取數(shù)據(jù)，還可以通過暴力破解、撞庫等直接非法侵入，甚至還可以通過自動(dòng)化掃描，發(fā)現(xiàn)漏洞，進(jìn)而入侵；以及利用大量的Bot發(fā)起DDoS攻擊等。

API入侵檢測(cè)：

檢測(cè)利用API漏洞的攻擊，包括API業(yè)務(wù)平臺(tái)的Web服務(wù)器及中間件漏洞。

API的數(shù)據(jù)泄漏檢測(cè)：

檢測(cè)通過API傳輸?shù)拿舾袛?shù)據(jù)、隱私數(shù)據(jù)，防止數(shù)據(jù)泄漏。

威脅檢出只是其中關(guān)鍵功能，還需要考慮API的發(fā)現(xiàn)和獲取，尤其是當(dāng)前API幾乎都是加密傳輸情況下，以及檢測(cè)出攻擊、異常后的實(shí)時(shí)阻斷能力。

原文標(biāo)題：RSAC2022解讀丨API安全為數(shù)字化轉(zhuǎn)型保駕護(hù)航

文章出處：【微信公眾號(hào)：華為數(shù)據(jù)通信】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。