如何創建有效的API安全策略（二）

5、API安全策略分析

三、瞭解API安全性的相關功能

API網關是提供API安全性的強有力的工具，由於它可以支持多種功能。可是，衆多的信息也會讓人一時不知所措，讓咱們慢慢梳理。如圖1展現了API安全策略中的多個「構造功能模塊」，儘管許多構造模塊的功能是不言自明的，但在某些場景下，他們在API安全性方面具備特定的用途。例如，在使用API密鑰的客戶端身份驗證的場景中能夠執行簽名驗證，簽名經過客戶端調用REST API來建立）以顯示對該API密鑰的擁有權。

爲了不被API安全產品的衆多功能所淹沒，以致於購買了一個功能最多的產品，而不是您真正須要的產品，咱們建議您在這種狀況下，應該採用功能方法來實現API安全。術語「策略」一般用於描述API安全性中涉及的工做流程。將所需的API安全策略按照步驟圖列出來，而後使用圖1中的一些API安全構造功能模塊，而後，將產品功能映射到當前基礎設施中，甚至能夠將其用做概念驗證的輸入，（例如，經過詢問供應商如何使用其產品來配置此API安全策略。）

下圖2展現的是此類API安全策略的示例。注意，該策略用於攻擊保護以及身份驗證。它不只對API的請求起做用，同時也對響應起做用。在將敏感數據返回給客戶端以前，對其進行標記，而後驗證響應來確保它是安全的。虛線表示在何處使用到其餘產品的連接，例如用於身份和訪問管理基礎設施的連接。

上圖2所示的安全策略一般使用API網關來實現，它一般做爲完整生命週期API管理解決方案的一部分，將API網關與API開發者門戶結合起來。固然，您也能夠利用應用安全基礎架構中的其餘產品來實現這些功能。下圖3在圖2安全策略基礎上，增長了產品類別。

應用交付控制器（ADC）已經在許多組織中用於傳輸層安全性（TLS）終止。除此以外，它還能夠用於API的傳輸安全，與訪問管理的集成可能涉及到訪問管理服務或軟件的鏈接。例如，含有身份識別服務（IDaaS）（例如Okta，它也提供API訪問控制），或來自訪問管理軟件供應商ForgeRock和Ping Identity，二者均提供API訪問控制。內容檢查能夠使用web應用程序防火牆WAF，例如Imperva。API的WAF功能也能夠包含在應用程序控制（ADC）或內容分發網絡（CDN）解決方案中(如Akamai，它也提供API保護)。

自動程序bot的攻擊對於API來講尤爲須要關注，由於從設計上講，API是以編程方式調用的。所以，區分「好的」API調用和「壞的」API調用是很重要的，後者可能試圖獲取數據。自動程序bot的攻擊緩解對策可能由已經爲web流量中執行自動程序bot的攻擊緩解的解決方案（例如，Distil Networks或ShieldSquare）或經過包含bot攻擊緩解對策的API管理解決方案（例如Google的Apigee Sense）來提供。

經過使用功能方法，您可能會發現API網關就足以交付所需的API安全策略。可是，若是須要API網關沒有提供的功能（例如高級自動程序bot的攻擊緩解對策），那麼能夠由基礎設施中其餘產品的功能來提供。

（未完待續）

未經贊成，本文禁止轉載或摘編。