云计算架构的出现让企业重新思考应用扩展的方式,这促使企业从通过虚拟机等基础设施部署全栈应用转向操作性组成的API服务采用微服务方式。根据Gartner的预测,到2023年,超过50%的B2B交易将摆脱传统方式,转而通过实时API进行。值得注意的是,虽然API的市场规模在快速增长,但安全威胁也在不断增加。目前,虽然API网关为API安全提供了各种核心功能,在API管理和API交付中发挥着重要作用,但解决API新出现的风险需要各种新的复杂技术,这些技术超出了传统API网关的范围。什么是API?API是ApplicationProgrammingInterface的首字母缩写,是计算机程序相互交互的一种方式,充当类似于繁忙城市中的交通控制系统的中间人,确保交通在不同区域之间无缝流动。什么是API网关?在典型的微服务架构中,API网关是一种指令和协议管理工具,用于处理来自客户端的请求并决定将它们路由到哪些微服务以进行响应。我们可以将其视为一种交通警察或总机,确保将请求传递到正确的位置,以便在获得响应的途中正确处理它们。对于微服务,必须存在对高效API网关的需求。主要的云提供商意识到API网关还可以为公司提供一种简单的方法来启动和运行他们的云服务。API安全需要什么?我们都知道,虽然API网关可以为调用API的开发者提供一个更明显的安全层,但仍有改进的空间。如果网关无法容纳其资源,漏洞管理将成为一项难以置信的挑战。据Gartner称,到2022年,API滥用将从一种不常见的攻击向量转变为最常见的攻击向量,从而导致企业Web应用程序的数据泄露。减轻人们面临的API安全威胁需要适当的安全实施策略和程序。此外,为确保API的安全,应制定包括审核标准、变更控制制度、管理流程、访问控制措施等在内的管理计划。为什么API网关安全性不够好?我们应该把API网关和API安全区分开来,不要混淆。之前的访问控制功能只是API安全的一部分。更糟糕的是,虽然开发人员确保应用程序正常工作并按照其设计的目的运行,但攻击者可以找到将应用程序武器化的巧妙方法。正如OWASP十大API安全文档中总结的那样,API安全威胁还包括许多伴随传统Web应用程序攻击的漏洞。随着支持API的服务的价值激增至数百万,黑客们努力寻找新的方法来获取不安全的密钥。主要的三个关键驱动因素如下:利用有效API令牌的复杂攻击可以成功地针对应用程序业务逻辑和数据层漏洞。从有效的API令牌获得里程的网络攻击可以成功攻击应用程序的业务逻辑或数据层,因为它们是针对允许使用API的漏洞而设计的。API网关的主要障碍是它只能监控端点,尽管如此,它仍然没有完全描述它为消费服务提供的完整API模式(RESTfulAPI和API交互方式)。可能危及API安全性的三种常见风险(1)处理API量的方法不当缺乏关于公共、合作伙伴、私有和复合API总数的信息会阻止安全团队了解API的真实暴露和风险。(2)黑客和开发者黑客使用工具,甚至更复杂的方法,在开发者层面打入API,然后利用细微的bug映射API,了解其结构,并在代码本身中寻找漏洞。(3)小企业对API安全问题关注不足与大企业相比,小企业无法提供必要的措施来充分保护自己的数据,因此安全性较低,面临的安全风险较大。WAAP应运而生。现阶段,API安全威胁不断增加。传统的防火墙、网关等安全工具并不能时刻为用户提供防范API攻击所需的防御。WAAP(Web应用程序和API保护)是必不可少的。此外,请考虑传统的Web应用程序防火墙解决方案旨在防止基于每个请求的恶意活动。这意味着他们不会阻止所有形式的网络钓鱼,包括鱼叉式网络钓鱼攻击。当黑客使用受害者通过电子邮件提供的信息直接攻击公司环境时,WAAP可确保API被阻止并且不会导致安全风险。WAAP解决方案以四个关键功能为中心:DDoS保护下一代Web应用程序防火墙(WAF)Bot管理API保护通过使用WAAP解决方案监控进入应用程序的所有互联网流量,企业可以检测恶意活动并确保只有受信任的客户可以在平台上进行合法交易。WAAP解决方案利用完全托管的、基于风险的应用程序安全方法来管理Web应用程序,防止网络威胁的异常活动。
