一文带你读懂网宿API安全防护哲学

大家好，网宿技术小F又来给大家分享干货啦，今儿小F带大家聊下API相关内容，知名CDN厂商公布的数据显示目前Web服务中超过50%的流量是API流量，并且针对API的攻击已经泛滥，特别是在视频媒体、以及高科技行业（例如物联网应用），但企业针对API的安全意识和措施却又明显缺失。基于此，小F今天跟大家探讨下API安全防护。

首先小F带着大家了解下API相关的基础知识哈～

一、什么是API？

API（应用程序编程接口）是一个软件与另一个软件互动的方式。如果一个程序或应用程序有API，外部客户端可以向它请求服务。

二、什么是API安全？

API安全是保护API免受攻击的过程。正如应用程序、网络和服务器可能会受到攻击一样，API也可能成为许多不同威胁的受害者。API安全是Web应用程序安全的核心组件。Web应用程序都依赖API来运行，而API允许外部各方访问它，从而给应用程序带来了额外的风险。就好像一家向公众开放办公室的企业：场所内有更多人，其中一些人可能不为企业员工所知，这会带来更大的风险。同样，API允许外部人员使用程序，从而给API服务的基础设施带来更多风险。

三、有哪些常见的API安全风险？

（1）漏洞利用：漏洞利用是指攻击者向目标发送特别制作的数据，这些数据利用了目标结构中的缺陷。

（2）基于身份验证的攻击：客户端在发出API请求之前需要进行身份验证，以便API服务器不会收到来自未知或非法来源的请求。

（3）授权错误：授权决定了每个用户的访问级别。如果不仔细管理授权，API客户端可能会访问不应该向其提供的数据，从而增加数据泄露的机会。

（4）DDoS攻击：向一个API发出过多的请求，会减慢或停止对其他客户端的服务。

了解完API安全防护的基础知识后，小F重点介绍下网宿API安全防护方案

网宿科技API安全防护方案

一、方案介绍

网宿API安全与管理产品，基于管理—保护—分析的安全管理理念，提供从API的创建、上下线管理到API调用方及调用额度的多方位管控；同时支持对API的持续安全检测，通过身份验证、合规性检测、对象级别授权、请求方法限制、访问控制等技术，实时检测请求流量中的恶意数据及可疑用户，保证企业API服务调用的高可用性及数据安全性。

二、技术架构

网宿API安全与管理依托于网宿分布式的边缘防护体系形成API安全管理网络，通过API资产管理、API认证与授权管理、请求Body合规检测、请求参数合规检测、API限流与配额管理、可视化报表等核心模块，结合云端大数据分析平台、高性能分析集群联动全网请求数据，支持秒级的访问上报及控制策略下发，实时监测API活动、管理API周期、检测可疑调用，保障API资产的高可见性、可用性与安全性。

三、亮点功能

亮点功能1-API管理

API安全与管理通过API资产发现、API资产盘点、API调用对象管控、API授权范围管控、API调用额度管控模块对API资产进行全方位管理，保障API资产的可见性及可控性。

1.API资产盘点

API资源，对API的上下线生命周期、隐私状态等进行管控。当API下线时，所有针对API发起的调用将被拒绝，下线的API资产因不再维护可能存在未修复的漏洞同时不被用户所关注，这些API或作为跳板被攻击者利用，对业务服务器造成巨大影响。

2.API调用对象管控

针对将API提供给第三方调用或内部调用的场景，可为所有已知的API调用对象创建消费方，维护消费方列表，消费方可为：业务合作伙伴、内部账号等，并为每一个消费方分配其身份ID根据此消费方ID可标识请求调用者身份，使调用者的活跃状态可见且可控。

3.API授权范围管控

管控所有消费方有权调用的API资产，同时管控对不同资产的授权周期，保障权限最小化。

4.API调用额度管控

管理API资产的调用额度上限，针对不同调用方不同周期进行调用额度的灵活管控，防止超额调用。针对需要限制调用对象调用额度的场景，可为不同的调用对象、允许调用的API、API调用额度、额度统计周期，配置灵活的限制策略，防止部分调用者的超额调用。

亮点功能2-API保护

识别恶意的API调用，主动发现伪造请求、非法调用及高频调用，阻止恶意请求数据到达客户源站，缓解源站解析压力，保障API调用的方法可信、身份可信、数据可信。

1.API资产发现

基于流量数据，检测请求侧以及响应侧的请求特征，根据网宿定义的API流量请求特征，时时分析流量日志，并自动进行API路径规范化与聚合，提炼路径参数。

2.请求方法限制

定义合法请求方法，主动阻断恶意请求方法调用，保障接口安全。定义合法请求方法，主动阻断恶意请求方法调用，保障接口安全。在RESTfulweb服务中，HTTP请求类型表示要对资源进行的操作，使用非法的请求方法可能导致接口数据被恶意删除或恶意篡改。

3.Body合规检测

为请求Body定义合规内容提供Body最大限制、JSON嵌套层数、JSON参数个数等最大值约束，同时限制请求的ContentType控制接收body的安全范围，防止API收到规模过大的请求。

4.参数合规检测

为请求参数定义合规内容，对接口参数名、参数类型、参数范围、是否必带等参数合规性进行精细化校验，有效防止在未知参数的情况下非法调用接口。

5.鉴权认证

客户端根据网宿鉴权算法生成动态鉴权令牌，云端防护平台接收请求携带的动态令牌并进行合法性验证，以验证业务请求是否可信。

6.高频请求限制

管理API调用频率，限制一定周期内的接口调用上限防止接口滥及高并发请求对业务带来的影响。在部分API遭到高频调用时，及时启用API粒度熔断机制，可使其他业务不受其影响，保障整体业务的平稳运行。

亮点功能3-API资产攻击可视化

网宿API安全与管理可实时的将识别到的API流量情况以可视化的报表呈现给用户，便于用户实时洞悉API活跃状态与风险态势，协助运维进行API管控及安全决策。包含API数量、API请求趋势、请求来源分布、消费方调用情况、风险事件趋势等提供可视化报表。

1.API资产分布可视化

2.API风险趋势具象化

以上是小F跟大伙分享的内容哈，有关API防护欢迎大家来探讨～～