API作为连接系统与应用的桥梁,在助力实现高效业务流程的同时,也不可避免出现资产管理困难、敏感数据泄漏风险骤增等安全问题。前段时间,安全公司Fastly公布了一项重磅调查报告,报告中显示95%的企业在过去1年中遭遇过API安全问题。本文分享API安全策略的6项原则,为企业API安全管理提参考建议。
原则1:了解API和端点
企业应当明确,如果API端点存在,它就可以被用作入侵途径。提供公共API还会让用户接收来自无数客户、合作伙伴和应用程序的查询。这也会使企业受到攻击。为了保护企业免受攻击,需要考虑一些风险控制措施。
原则2:在创新与安全之间找到平衡
根据您所在的行业,合规性标准会有所不同,有些要求相比其他行业而言,安全性需求更为严格。为每种类型的 API 设计 API 治理策略,以便设置适当的安全控制措施。此外,还要利用AI以应对新出现的威胁、异常行为以及试图利用或滥用API的恶意用户,从而减少安全团队的负担。
原则3:在整个开发周期内管控风险
API 安全测试并非一次性试验。在部署前、部署期间以及部署后进行测试都至关重要,这样才能在漏洞发生之前发现弱点和漏洞。F5公司的解决方案可自动为API创建并验证稳健的模式,通过可操作的洞察揭示API安全风险,利用AI/ML缓解复杂的API攻击等,赋予了客户随时随地保护任何应用和API的能力。
原则4:从后端到终端客户的层层保护
从外部客户端到内部、后端基础设施,架构的每部分都必须有各自的保护措施。内部API的安全更直接,可以与应用团队协调安全措施。对于外部API,可以从实时威胁情报和访问控制机制(例如加固的会话令牌)、建立正常和异常的流量模式基线以及限制API使用方面三方面入手进行保护。
原则5:拥有适当的策略和工具
作为整体安全架构的一部分,用户需要制定一项策略,部署全面的工具生态系统。作为应用和API安全领域的全球领导者,F5于5年前开始构建一套改变游戏规则的功能,作为F5分布式云服务的形式推向市场。F5正在将高级API代码测试和遥测分析引入F5分布式云服务,打造业内首个功能全面,且适合于AI的API安全解决方案。
原则6:将安全性纳入开发和部署流水线
由于技术、层、设计和所用API的上下文多样性,API安全可能变得十分复杂。安全需要在应用本身的同一连续生命周期中运行,这意味着 要与CI/CD流水线、服务预配和事件监控生态系统紧密集成。此外,屡试不爽的安全实践仍然适用——默认拒绝架构、强加密和最低权限访问。