API,即应用程序编程接口,是一套协议、例程和工具,帮助不同的应用、软件系统或组件互相通信。 API 在现代数字基础设施中作用日益凸显,它们连接分布式平台上的应用、服务、系统和数据,构建了整体的连接纽带。
API 在当今数字环境中至关重要,越来越多的组织采用以API为先的策略,将应用设计从API开始。这不同于传统的“代码优先”方式,那种方式是以单体代码为核心,API设计要么推迟,要么根本没有。
API 的数量确实在迅速增长。 如今,平均每个组织在数字基础设施中管理超过 400 个 API,而68% 的组织通过 API 来管理应用交付和安全。 大多数组织清楚,API 泛滥会带来风险: 58% 的组织将 API 泛滥视为重大难题。 因为 API 无处不在,增加了组织的攻击面,还会因多云架构间的相互依赖带来难以预料的威胁。
API容易被攻击者利用漏洞、自动化威胁滥用、拒绝服务、配置错误以及绕过认证和授权的攻击。 我们必须实施强有力的API安全策略,保护API中暴露的核心业务逻辑和敏感信息,防止未经授权访问、操控或泄露用户数据、认证凭证和金融交易,同时保障API的完整性和稳定性。
本文简要介绍了API面临的主要安全威胁,并提供了一份关键API安全策略和最佳实践的清单,帮助您在多云环境中保护API,包括访问权限管理、输入验证与输出管理、API测试和监控。 我们还推荐了应遵循的顶级API安全标准,并为您推荐保障宝贵API安全的实用工具。
访问控制是确认并执行哪些用户被授予访问特定资源权限的系统化流程。 这一流程涵盖身份验证与授权两个环节。 身份验证核实用户身份,授权则界定经过验证的用户可享有的访问权限级别。
以下是提升 API 安全性的访问控制核对清单关键建议:
通过验证 API 输入,我们防止黑客提交恶意请求;同时,输出管理确保 API 不泄露敏感数据,切实保护您的数据安全。
以下是改进 API 安全性时输入输出检查清单的关键建议:
API 安全测试应持续进行,而非仅在初次部署时完成,因为 API 经常更新并增加新功能。 同时,威胁形势也在不断变化,攻击者不断创新攻击手法。
以下是API安全测试清单的关键建议:
API 监控至关重要,因为它帮助您实时发现威胁,并构建“正常”活动的基线,为识别异常奠定基础。 持续监控让您的安全团队能够迅速识别异常模式,比如流量激增、重复登录失败或者端点异常使用,这些通常是攻击的迹象。
API 监控清单应包含以下要点:
开放式全球应用安全项目 (OWASP)和国家标准技术研究所 (NIST)都发布了网络安全的最佳实践。
随着 API 优先应用设计的普及和 API 数量的激增,一套全面的 Web 应用和 API 防护(WAAP)解决方案成为保护 API 资产最强有力的保障。 WAAP 提供整体安全防护,将 Web 应用防火墙(WAF)、API 发现与防护、DDoS 缓解以及机器人管理整合于一体。
WAAP 的核心优势包括:
F5 将API 安全作为Web 应用与 API 保护(WAAP)解决方案的一部分,帮助您在复杂的混合云和多云环境中保护 API,简化流程并提升运营效率。 F5 的 WAAP 解决方案提供覆盖 API 全生命周期的全面防护,从构建和测试,到发布、运营和监控,助您全程守护。
F5 的 WAAP 解决方案通过持续防护支持 Web 应用和 API 的关键业务逻辑,帮助您降低风险并增强数字弹性。 我们通过动态发现、持续监控和威胁检测,确保全面的 API 可见性,同时采用关键控制和执行机制保护您的 API 端点。 F5 的 WAAP 解决方案支持无缝部署于任何环境,无论是本地部署、云端还是服务形式。