RSA Conference 2022于舊金山時間6月召開，大會的創新沙盒（Innovation Sandbox）大賽作為全球網絡安全行業技術創新風向標，每年都備受矚目。

今年的創新沙盒大賽冠軍在激烈地角逐中誕生，初創企業Talon Cyber Security公司力克群雄，成功拿下創新沙盒大賽冠軍，成為網絡安全行業眼中的“明日之星”；Talon Cyber Security公司技術方向為企業提供專有的安全瀏覽器Talon Work，可為用戶提供深度安全可視以及SaaS應用的控制，以求簡化未來工作對安全的需求。

創新沙盒大賽十強中還有一個提供API安全的公司Neosec。說起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闖入十大創新沙盒，當前Salt Security已經成長為估值達到14億美金的獨角獸公司。但2020、2021年API安全在RSAC的創新沙盒中未有露面，有些沉寂，直到2022年又再度露面，說明API安全一直很重要，一直有大量公司在重點投入，那我們今天就看看API安全是什么。

什么是API

API應用編程接口（Application Programming Interface）是一組用于構建和集成應用軟件的定義和協議。

今年RSA大會的主題是轉型（Transform），轉型體現在各個方面，從疫情影響下的辦公形式、到國際經濟形勢的變化等，其中也包括當前各行各業數字化轉型下企業架構及業務的轉型。

以下來自《API驅動數字化轉型的5大趨勢》中的描述：

數字化轉型依賴于企業的整合能力，即將其服務、能力和資產打包到可重復利用的模塊化軟件中。每個企業都在其系統中儲存了有價值的數據，然而要利用好這些價值，就要通過 API 的能力打破數據孤島，讓數據在不同環境中使用，包括將其與合作伙伴及其他第三方有價值的資產結合起來。

即使一些系統從未設計互通能力，API 也能讓開發人員輕松訪問并組合不同系統中的數字資產，從而更好地實現整體協同。API 是軟件和軟件之間進行“對話”的最基本形式，如果將開發人員的經驗融入 API 的設計中，（而不是像定制的集成項目那種，經驗不可被復制）它們將變得非常強大，從而使開發人員能重復使用數據和系統功能來開發新的應用程序。

API傳輸格式有多種多樣，比如當前較流行和被產品遵守的Open API規范（https://swagger.io/）。

什么是API網關

API網關（API Gateway）提供高性能、高可用、高安全的API托管服務，能快速將企業服務能力包裝成標準API服務，借助API網關，可以快速地實現內部系統集成、業務能力開放。

API網關負責將客戶端的各種請求路由到相應的服務，然后向請求者發送回復。API網關在客戶端和微服務系統之間維護安全連接，并管理公司內外的API流量和請求，包括身份認證、權限控制、安全檢測、負載均衡等，同時還需要提供API的生命周期管理。

隨著業務的發展，API網關也集成越來越多的功能，主要的功能有：

API生命周期管理：包括API的創建、發布、下線和刪除的完整生命周期管理功能。通過API生命周期管理功能，您可以快速、高效的開放成熟的業務能力。

用戶授權及訪問控制：訪問控制包括對訪問API的用戶進行身份驗證和授權檢查，網關可以使用眾多開放標準來確定消費者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非標準方法在消息標頭或有效負載中查找憑據。訪問控制策略可以限制API的調用來源IP，可以通過設置IP地址或帳戶的黑白名單來允許/拒絕某個IP地址或帳戶訪問API。

響應轉換：響應轉換是API網關的重要功能，它充當信息的“轉換者”，包括協議的轉換、格式的轉換；比如前端可能是HTTP協議，到后端服務器就采用私有協議，前端為JSON格式請求，轉換為后端XML格式的請求，以及請求URI的轉換等等。

流量控制及負載均衡：針對不同的業務等級、用戶等級，可實施API的請求頻率、用戶的請求頻率、應用的請求頻率和源IP的請求頻率的管控，用于保障后端服務的穩定運行；并可針對后端服務提供負載均衡的能力。

API安全檢測及防護：API為對外提供業務的接口，暴露在外，必然會面臨各種各樣的安全問題，包括API誤用、API濫用、API漏洞入侵、數據泄漏等，需要有API安全檢測和防護模塊提供相應的安全保障。

什么是API安全

類似Web的安全TOP10一樣，OWASP也總結了API安全 Top10，見下表：

OWASP API 安全 Top10 – 2019

隨著API不斷變化及應用的越來越廣泛，API的安全問題也會越來越重要，基于API的攻擊也在不斷變化，相應的API安全檢測防護技術也在不斷變化，已經不局限于簡單的通過AI進行發現和異常檢測，在RSA Conference 2022的活動中，除了傳統大的安全公司外，另外有近10家API安全相關的公司來參展，比如：

Neosec公司引入XDR技術，基于歷史API數據的行為和上下文進行威脅分析，通過API進行威脅狩獵及自動化響應編排等。宣稱是能防護OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案廠商CequenceSecurity：

While othervendors rave about protecting against the OWASP API Security Top10，CequenceSecurity is the only solution that protects your organization fromevery type of attack on the OWASP API Security Top 10，OWASPWeb Application Security Top 10 and OWASP Automated Threat list.

Noname Security公司宣稱是唯一一個主動保護環境免受API安全漏洞、配置錯誤和設計缺陷的解決方案廠商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣稱是第一個提供全生命周期API安全平臺的廠商：

Wibis the first full lifecycle API Security platform，witha suite of products covering the entire lifecycle of APIs -development，testingand production.

在RSA大會上出現的還包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等廠家，各個廠家基于不同的技術，提供不同的差異化API安全檢測和防護能力，滿足不同場景需求。

我眼中的API安全

API管理平臺通常依賴于傳統的安全防護方式，例如身份驗證、授權、加密、消息過濾和速率限制。雖然這些都是重要的基礎安全功能，但在保護API方面卻遠遠不夠。經統計，96%的漏洞發生在經過身份驗證的API上。所以，API安全是API業務重要的組成部分的，API安全要重點關注以下幾個方面：

API的發現：

可持續的對API使用情況進行檢測，發現除了未被注冊/登記的API外，還包括被濫用、誤用的API。

Bot識別及防護：

Bot不僅可以探測API，爬取數據，還可以通過暴力破解、撞庫等直接非法侵入，甚至還可以通過自動化掃描，發現漏洞，進而入侵；以及利用大量的Bot發起DDoS攻擊等。

API入侵檢測：

檢測利用API漏洞的攻擊，包括API業務平臺的Web服務器及中間件漏洞。

API的數據泄漏檢測：

檢測通過API傳輸的敏感數據、隱私數據，防止數據泄漏。

威脅檢出只是其中關鍵功能，還需要考慮API的發現和獲取，尤其是當前API幾乎都是加密傳輸情況下，以及檢測出攻擊、異常后的實時阻斷能力。

原文標題：RSAC2022解讀丨API安全為數字化轉型保駕護航

文章出處：【微信公眾號：華為數據通信】歡迎添加關注！文章轉載請注明出處。