使用 Shift Left 安全策略提高 API 保护能力

API已经成为现代应用不可或缺的一部分，因为它们可以提高效率和互操作性。 API 还使不同的软件系统能够无缝通信，因此它们使团队能够整合不同的服务并简化流程。

人工智能的兴起扩大了 API 的增长，因为它在数据处理、机器学习和自动化等功能上严重依赖 API。 随着人工智能的采用不断攀升，对 API 的需求也将随之增加。

然而，快速扩张带来了重大的安全障碍。 F5 SOAS 报告显示，95% 的组织使用 API 网关¹；然而，仅靠这种做法是不够的。 当今的 API 安全面临两个关键问题：发现和左移以便在开发过程的早期增加安全性。

目前，API 保障措施已经落后于 API 的蓬勃发展的使用。 虽然 API 网关提供了一定程度的控制，但它们并不能满足 API 发现和全面安全策略的基本需求。 Gartner 预测，到 2025 年，一半的 API 将不受管理，带来严重的风险。³ 此类影子 API 可能使组织面临未授权访问、数据泄露和其他威胁，因为它们在安全团队的可见性和控制范围之外运行。 它们存在漏洞，攻击者可以利用这些漏洞来未授权访问敏感数据。 解决这一威胁的第一步是发现组织环境中的影子 API。

为了发现影子 API 并管理相关的多云复杂性，团队可以首先使用专为 API 发现而设计的工具检查其暴露的域空间。 识别公司域内的所有端点有助于映射 API 格局。 然而，在多云环境中，挑战变得更加严峻，因为 API 跨越具有不同安全协议和治理要求的各种平台。 这种复杂性使得API 管理和安全必须采取战略性方法。

随着开发人员定期添加新的 API，他们可以实施 Google Cloud 的Apigee API 管理和 F5 分布式云 API 安全等解决方案，这些解决方案提供持续的发现和监控 - 使他们能够在开发周期早期纳入安全措施并增强 API 治理。

根据 Gartner 的预测，到 2026 年，40% 的组织将根据其先进的 API 保护和 Web应用安全功能选择 WAAP 提供商。 这一数字比 2022 年的不到 15% 有所上升。⁴

虽然这是个好消息，但更多的组织可以通过左移将安全实践集成到他们的 CI/CD 管道中，确保 API 从一开始就是安全的。 这涉及全面的 API 文档、自动安全检查以及对开发人员和安全团队的持续教育。

缓解开发人员和安全团队之间的压力

从历史上看，专注于快速部署的开发人员和优先考虑安全的安全团队之间一直存在着紧张关系。 为了缓解这种压力，培育一种共同承担安全责任的文化至关重要。 鼓励合作和相互理解有助于协调目标和简化流程。

保护整个 API 生命周期

综合方法包括持续监控、定期更新、主动威胁检测、实施强大的身份验证和授权机制，以及采用利用人工智能来检测和减轻威胁的先进安全工具。

提高 API 安全性的第一步是对所有 API 进行彻底清点，识别未管理或过时的端点，并记录其功能和安全措施。 组织应根据风险级别和潜在影响确定 API 安全的优先顺序。 F5 分布式云 API 安全和 Apigee 等互补解决方案有助于创建全面的安全框架，以保护所有环境中的 API，让开发人员在日益互联的世界中安心无忧。

因此，虽然 API 增长为组织带来了机遇，但团队必须意识到安全隐患。 组织可以通过左移、接受持续发现以及促进开发和安全团队之间的协作来更有效地管理其 API。

要详细了解我们的 F5 和 Google Cloud 专家对 API 安全性的看法，请观看Shift Left： 利用 F5 和 Google Cloud 实现 API 安全性转型 网络研讨会点播。 您还可以访问Google Cloud Platform (GCP)，深入了解我们的合作伙伴关系。