解决多云 API 蔓延时代的application安全挑战

为了帮助应用程序开发人员和安全团队联手成功应对 API 安全挑战，Google Cloud 和 F5 携手举办了一场特别的网络研讨会，名为“解开 API”： 解决网络扩张问题并保护您的数字生态系统。 对话揭示了几个相关且可操作的答案，以解决组织对 API 扩展、管理和安全性所提出的或应该提出的尖锐问题。

如果您无法参加现场会议，请不要担心；您可以在此博客文章中了解一些精彩内容，还可以访问点播录音。

此次活动由 ActualTech Media 的 Jess Steinbach 主持，其他嘉宾包括 Google Cloud 战略技术合作伙伴经理Joshua Haslett 、F5 高级产品营销经理Ian Dinno和 F5 产品管理总监David Remington 。 他们共同坐在 API 安全热点问题上，为与会者提供专家建议和实用指导，帮助其在整个组织内采用更全面的应用程序和 API安全策略。

讨论中提出的一个主要观点是围绕寻找实现整体方法的正确途径，随着整个组织的应用生态系统中使用的 API 数量继续以前所未有的速度增长，这个问题变得更加难以解决。 正如一位与会者提出的问题所强调的那样，API 蔓延带来的安全、治理和效率挑战只会因混合云基础设施的采用增加以及使复杂的多应用业务流程正常运行的大量微服务的出现而变得更加复杂。

为了解决与 API 蔓延相关的风险（例如数据泄露、账户接管和欺诈），组织的应用安全程序必须包含提供持续发现和监控、运行时保护和实时态势管理的API 保护技术。 该计划还必须得到一个流程的支持，通过在软件开发生命周期的早期轻松集成安全方法和代码测试，保持 CI/CD 管道畅通，这样不会延迟发布、对用户体验产生负面影响或导致应用停机。

很有可能，当您认为您的团队对正在运行的 API 及其在何处运行有适当的了解时，就会添加新的应用程序或 API 端点，或者对现有的应用程序或 API 端点进行更新。 这可能是一个新的第三方服务，或者是多个新的或更新的 API，这些 API 可能对负责安全的团队不可见，并且会为组织增加新的易受攻击的入口点和暴露。 控制网络扩张是一场永无止境的战斗，这使得安全团队更难以单独评估和保护这些服务，以及将其作为功能齐全的应用的一部分。

在谈到由于应用基础设施复杂性不断增加而导致的威胁形势风险增加时，Ian 和 David 坚定地认为，人工智能和机器学习将在API 安全中发挥重要作用，包括攻击的范围和规模以及所需的保护措施。

网络研讨会期间小组讨论的另一个关键因素是需要了解 API 安全状态。 例如，一位与会者向小组描述了他们最近如何开始发现他们的某些系统和应用中的性能问题和其他中断。 然而，他们无法轻易确定是否看到了 API 蔓延被主动攻击所利用的迹象。 这似乎是许多团队都在努力解决的常见问题。