走进API，了解数字化转型时代应用新宠

现今，国家正全面推进各行业数字化转型进程，“十四五”规划和2035年远景目标纲要明确提出“加快数字化发展”“建设数字中国”要求。近年来，随着数字化时代的来临，加之疫情的催生，已有越来越多的企业投入到数字化转型的进程中来。电商API接口获取商品详情数据。

据《2021年API经济状况》及GoogleCloud的研究报告统计，近两年，数字化转型已成为企业的第一要务，加之2020年新冠疫情对企业带来的连锁效应，近3/4的企业持续投入数字化转型。

在转型过程中，众多企业将业务重心逐步转向云环境，为了更好的利用可重复利用的模块化软件，通过API打破数据孤岛，以此作为连接服务和传输数据的重要通道。根据谷歌发布的2021年API经济调查报告中，其生态体系下2020年API调用次数已达2.21万亿次。

API是什么？

API是应用编程接口的缩写，开发者通过定义一组函数、协议、数据结构，明确应用程序中各个组件之间通信与数据交互方式。

API分类

根据传输协议的不同，现在常见的包括REST、SOAP协议，REST是构建通过网络通信的应用程序的首选标准，主要是因为SOAP仅代表简单对象访问协议，而REST代表具象状态传输，简单来讲SOAP只适用于XML格式，而REST适用于纯文本、XML、HTML和JSON。

API接口已成为
数据安全风险的主要途径之一

随着企业“互联网化、数字化”进程的不断深入，越来越多的业务被迁移到互联网上，大量的业务交互和对外服务需求，导致企业大量使用API。据统计，近年来，随着企业业务系统的微服务化，API的数量成指数级的增长，在带来巨大便利的同时，随着数量快速增长，使用更频繁，也导致攻击面不断扩大。

与之而来的各类攻击事件层出不穷，国内外已发生多起由于API被恶意攻击或安全管理疏漏导致的数据泄露事件，同时众多业务系统被爆存在API漏洞。如2021年6月淘宝因API接口问题造成12亿条用户数据遭泄露、2020年新浪微博因终端API被非法调用造成5亿多用户数据泄露、2021年领英泄露7亿用户数据、Experian公司泄露大量用户信用评分数据、Tokopedia9100万用户信息泄漏、Peloton曝API安全漏洞等，以上摘录了近两年来国内外因为API接口造成的数据泄露以及披露的安全漏洞，当然，除了以上事件外，根据Cloudentity就API安全相关问题的调查研究表明，近半数受访企业（44%）表示，曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。通过这些大量的数据显示，API接口安全一旦出现问题，可能导致的不是一两个、几百、几千个人信息的泄露，而是涉及百万、千万、甚至亿级个人信息的数量。

引自《OWASPAPI Security TOP 10》报告

同时，《OWASPAPI Security TOP10》统计了当前API接口面临的包括失效的对象级别授权、失效的用户身份认证、过渡的数据暴露、资源缺乏和速率限制、失效的功能及授权、资源缺乏和速率限制、失效的功能及授权、批量分配、安全配置错误、注入、资产管理不当等诸多安全风险。

国内外API安全技术应用情况

国外市场上已经出现了一些API安全防护的产品，以下举例说明当前防御方向：SaltSecurity提供API保护平台，可防止API攻击，使用机器学习和AI自动、持续地识别和保护API；红帽提供的3scaleAPI管理，能够持续的对API进行管理和防护，它不仅可以管理API、应用和开发者角色的API管理器，也可以执行API管理器策略和流量管理，并支持多身份认证协议的身份提供商中心；Amazon提供的API网关可以解析到期的时间戳令牌，检查客户端身份是否有效，以及使用公钥来确认签名等。

国内市场伴随网络安全法律法规体系不断完善优化，网络安全标准体系进一步完善，近年来，我国也陆续出台多部数据接口有关标准，对数据接口在不同领域的应用、部署、管理、防护等进行了规范。金融行业发布首个API团体标准《商业银行应用程序接口安全管理检测规范》；通信行业针对特定API类型、API应用场景等制定了一系列标准，细化了API相关安全要求与规范：YD/T2807.4-2015《云资源管理技术要求第 4部分：接口》对涉及的接口类型进行了梳理，规定了云资源管理平台及分平台间接口的技术要求；YD/T3217-2017《基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）视频共享》针对基于REST技术的视频共享能力开放API进行了规范，涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。

伴随着多部API相关标准陆续的发布，国内市场推出多种API安全防护产品应对，主要包括以下三种模式：

API安全网关型

API安全网关产品可根据动态授权机制为API提供细粒度的应用安全防护，可串联部署至应用系统前、后之间，也可与“零信任”体系安全联动。产品具备流量控制、限流控制、熔断机制、请求过滤、服务路由、反向代理、安全通道、负载均衡等基础能力，同时也具备API全生命周期管理及各类攻击防护、敏感数据检测防御等能力。

API安全监测型

API安全流量监测平台主要提供资产识别管理、智能分析能力、已知威胁和未知威胁的实时监测能力，通过流量旁路镜像的方式采集不同基础设施API通信数据；同时针对不同的API通信协议进行数据清洗、协议解析；并以大数据分析平台为安全大脑核心，结合威胁情报、漏洞扫描、攻击特征、UEBA、机器学习、隐私识别、可视化等技术对全域API流量实现业务可视和威胁感知，从而实现全面发现各种潜伏威胁。该类产品以旁路部署，不具备阻断、处置等能力。

API安全综合型

综合型API安全产品包括API智能网关和API安全管控平台两部分，其中API智能网关应具备流量控制、限流控制、熔断机制、请求过滤、服务路由、阻断等基础功能。API安全管控平台应具备基于场景的持续复杂分析预警，同时将分析结果联动至智能网关做处置。通过网关串联，流量旁路镜像至API安全管控平台做持续复杂分析，二者联动实现持续自适应的动态智能决策。

在数字经济时代，API在应用服务中扮演着愈来愈重要的角色，为有效解决《OWASPAPI Security TOP10》提及的诸多API安全风险，观安特推出观御API智能安全网关产品及解决方案以解决企业用户在API安全方面的一系列问题。目前该方案已成熟应用于运营商、金融、政企等多个行业，产品更多详细内容将在下篇文章《面对不断增长的风险， 观御API智能网关守护数字资产安全》重点介绍，敬请期待！