如何創建有效的API安全策略（一）

對於任何一個API程序來講，創建安全策略，以確保在管理訪問和保護系統免受攻擊的同時，仍然參與數字生態系統，這是必不可少的。應用程序負責人必須設計、執行和治理有效的API安全策略，其中包括API網關的使用。

1、API安全的四個主要挑戰

1.應用程序編程接口（API）因缺少保護而遭受攻擊並致使數據泄露的數量愈來愈多。

2.僅僅使用傳統應用程序的安全解決方案來保護web API是不夠的。

3.組織不斷添加和使用新的API，意味着API安全的工做不是一次性的。

4.現代應用程序體系結構發展趨勢（包括移動設備、微服務設計模式和本地/雲混合使用）使得API安全性具有必定的複雜性，不多有單一的「網關」來實施保護。

2、API安全策略相關建議

負責應用策略和治理的應用安全負責人應該作到如下四點：

1.發現並評估組織使用的API，以確保它們被整個web應用程序安全體系結構覆蓋。對於沒法找到或API沒法進行有效保護。

2.在API網關等基礎設施中實現API安全以前，請先了解其功能。

3.採用持續優化的API安全方法，不斷髮現、監控和保護API。

4.使用分佈式實施模型來保護整個體系結構中的API，而不單侷限在某一點。

3、戰略規劃假設

預計到2022年，API濫用將成爲致使企業web應用程序數據泄露最多見的攻擊載體。

4、API安全策略介紹

對於公開web API的組織而言，他們的API安全策略必須均衡訪問的易用性（確保API被採用）和控制（防止濫用或攻擊）。就像銀行搶劫犯攻擊銀行是由於「錢就在那裏」同樣，使用API來提供對應用程序和關鍵業務數據的訪問天然會致使API安全事件，常見的是數據泄露。尤爲是開放式網上銀行API的增加，這類狀況註定會變得更加糟糕。

與web應用防火牆和其餘必要的應用安全基礎設施結合使用的API網關，可以用來實現API安全。可是，純粹基於邊緣的web應用程序安全防護策略並不足以應對API帶來的新挑戰。內部API的普遍使用，再加上移動訪問和對雲API的日益依賴，從邊緣防護是遠遠不夠的，組織應該從總體考慮API安全性的問題。

本項研究描述的最佳實踐解釋了組織應該如何使用API安全性來實現其集成和數字業務計劃。

5、API安全策略分析

1.發現並評估組織使用的API，以確保它們被整個web應用程序安全體系結構覆蓋。

API是應用程序交付的一部分，與移動和瀏覽器接口的交付並行，同理，API安全也應該是整個應用程序安全體系結構的一部分。首先，肯定組織中使用其產品的供應商的當前功能。這些可能包括web應用程序防火牆（WAF）、應用交付控制器（ADC）、API管理和內容交付網絡（CDN）軟件。調查這些供應商的短時間產品路線圖，看下他們是否具備或者正在添加API安全功能？若是沒有，考慮從API安全性更強的供應商那裏添加新的基礎設施。

標準是確保API安全性與組織的總體應用程序安全體系結構協同工做的關鍵。特別是，要確保支持身份標準，如OAuth 2.0、SAML和OpenID Connect，用這些標準來與身份和訪問管理解決方案進行交互，所以不須要新的身份庫。

另外，還要考慮組織所使用的API，可能引發的安全問題，例如數據泄露。

2.讓每一個API安全利益相關者都參與進來

API安全的共同利益相關者如表1所示。在制定API安全策略時，必須考慮到全部這些利益相關者。

表1：API安全利益相關者

資料來源：Gartner（2017年12月）

如上表1所示， API產品經理是關鍵的API安全利益相關者，他們也是API程序成功的關鍵。Gartner在2018年的CIO調查中發現，在最優秀的數字執行者中，42%的人擔任了這一角色，而在靠後的那些數字執行者中，這一比例僅爲6%。API安全性使API產品經理可以與業務團隊協做，一塊兒肯定API訪問控制能夠在哪些地方啓用API分層訪問級別。在某些狀況下，這可能與API貨幣化有關，儘管大多數API不會直接貨幣化。API產品經理還必須確保，添加API安全措施不會使得API難以理解和使用。所以，他們充當着API安全決策的焦點。如表1所示，安全主管和防欺詐主管也應該與API產品經理一塊兒參與進來。

（未完待續）