Akamai+Noname强强联合 | API安全再加强

最近，Akamai正式完成了对Noname Security的收购。本文我们将向大家介绍，经过本次收购后，Akamai在保护API安全性方面的后续计划和未来愿景。

Noname Security是市场上领先的API安全供应商之一，此次收购将让Akamai能更好地满足日益增长的客户需求和市场要求。具体来说，Akamai将能借助本次收购扩展API流量方面的情报，满足客户可能提出的，与业务、集成或部署要求有关的任何问题。

目前，Akamai正在将Noname API Security和Akamai API Security进行整合，随后将以一个统一的产品推向市场，该产品名为Akamai API Security。

API安全为何如此重要？

API的使用量正在激增，这种技术正驱动着我们的世界和我们每天在这个世界中所获得的各种体验。每一天，当我们使用设备时，无论是浏览社交媒体、在线购物、处理银行业务，甚至远程查看独自在家的喵星人，我们实际上都是在通过各种应用程序与不同的API通信来实现的。不光生活中，就算在家工作时，与公司的应用程序和服务所进行的通信，大部分也使用了API。

在数字化转型、移动办公、物联网等技术趋势的推动下，API几乎在全球各行各业都获得了广泛的运用。无论B2B或是B2C领域，都会通过API来拉动业务的快速发展。企业开发过程中几乎每个现代应用程序也会使用API，用以驱动这些应用程序或实现跨业务的服务集成。

那么问题来了：对企业和用户如此重要的东西，攻击者会放过吗？

API就像是吸引攻击者的磁铁

API早已成为攻击者最关注的攻击方式之一。Akamai的调查数据发现，围绕API发起的攻击，每年会增长109%。在2023年的一份报告中，有78%的客户表示他们在过去12个月中经历过与API相关的安全事件。对很多企业来说，API的安全性已经成为一个日益重要的优先事项，而Akamai也在加倍努力为客户提供API保护解决方案。

本次对Noname Security的收购之前，客户对Akamai API Security的需求增长率就已经高达200%。通过收购，双方强强联合将能为客户提供更有吸引力的服务。毕竟Akamai和Noname在API安全性方面都是领先的企业，将双方的优势结合在一起，自然能让双方的客户从中获得更大收益。

难道只使用WAAP解决方案还不够吗？

Web应用程序和API保护（WAAP）平台在防御类似OWASP API十大安全威胁之类的攻击时，确实可以发挥重要作用，但这类产品并没有解决整个问题。

其他供应商会劝说客户：WAAP能解决所有类型的API攻击。但实际呢？大多数WAAP解决方案在API安全性方面都无法提供足以满足用户需求的可见性和深度，尤其是在防止滥用攻击方面更是有很大的缺口。这主要是因为，WAAP解决方案不具备上下文意识，因而无法理解API请求和响应之间的对话。

Web应用程序和API毕竟不是一回事

说Web应用程序和API不是一回事，相信大家都不会觉得难以理解吧。毕竟API的运作方式与Web应用程序截然不同。在Web应用程序中，背后的业务逻辑都是隐藏的，但API的业务逻辑会直接暴露在互联网上，使API更容易被滥用。

因此Akamai在提升API安全解决方案方面进行了重大的投资，我们会借助这次的收购，继续围绕API安全防护进行更多的创新。

珠联璧合：WAAP和API安全解决方案如何共同保护API

Akamai API Security解决了多个关键问题

Akamai API Security解决了OWASP API十大安全威胁中的许多攻击。这些攻击往往会导致企业收入损失、声誉损害、信息泄露和合规违规。

我们的API安全解决方案解决了几个关键问题，包括API环境的可见性、威胁和异常的检测和阻止，以及API的主动测试。

API环境的可见性 俗话说：你无法保护自己看不见的东西。许多公司甚至不知道自己到底有多少API，因此很难量化风险。Akamai API Security会从评估客户拥有多少API开始，不仅可以评估客户知道自己正在使用的API，还可以包含客户不知道或看不到的遗留系统、影子系统或异常系统所对应的API。Noname Security的数据表明，其API安全平台的客户通常会发现，自己环境中实际存在的API数量会比自己最初的预期多40%。
威胁和异常的检测和阻止 API Security使用机器学习来检测和识别各种API漏洞和滥用情况，包括数据篡改、泄漏、配置错误、策略违规、行为异常和直接的API安全攻击。
API的主动测试 左移测试是应用程序开发的关键组成部分，这方面从一开始就引入了安全性。但到目前为止，API在开发过程中无法进行测试。有了API Security，即可将API测试纳入CI/CD管道，确保在API发布到生产环境前解决潜在问题。

Noname的附加价值

作为API安全市场领导者之一的Noname Security，在加入Akamai大家族后，可以进一步扩展Akamai API Security为客户提供的保护。凭借Noname的广泛集成和部署方式，我们现在可以跨供应商环境为客户提供支持。

无论企业采取了云端部署、边缘原生部署、本地部署或是在其他供应商的平台上部署，Akamai API Security都可以保护API环境。通过新加入的Noname解决方案，Akamai将具备提供全面API保护所需的广阔覆盖范围。

不仅如此，我们还很高兴地获得了：

灵活的部署能力——快速部署在云托管、自托管、混合和分布式实例中。
不可或缺的企业能力——基于角色的访问控制、自助配置、CI/CD集成、仪表板和高级自动响应。
不产生数据边界挑战——在内存中分析攻击数据，确保数据永远不会离开用户的环境。
更多集成——提供全面的集成集合能力，支持NGINX、AWS、Azure、F5、Apigee、MuleSoft、GCP等。
强大的API测试——在CI/CD管道（软件开发生命周期的开发阶段）中集成API安全漏洞的发现和修复，防止API被利用

将双方各自的优势整合到同一个产品中

正如上文所述，Akamai的计划是将自己现有的API安全创新与Noname安全解决方案相结合。统一的解决方案将为所有环境中的客户提供全面的API保护。

双方的集成过程将侧重于三个方面：

从Akamai边缘平台建立的连接 Akamai运营着全球最大的私人网络之一。它是我们大多数服务的交付平台，例如我们的安全服务（App & API Protector和Prolexic DDoS防护）、内容交付网络（CDN）和Akamai云计算平台。我们的企业客户喜欢直接从Akamai的平台使用这些服务，因此我们将提供易于部署的集成式Noname服务。预计这会在收购后三周内完成。
以App & API Protector为目标的连接 App & API Protector是业内一流的WAAP平台，该解决方案已连续五年获得Gartner Peer Insights云端WAAP客户选择奖和广大分析师的好评。凭借这样的连接能力，Noname生成的行为将可以智能地触发App & API Protector中的WAAP规则以自动阻止连接。
威胁情报 Akamai每天收集和分析超过788TB的数据。所有这些数据都是由我们所服务的企业客户经历的大量攻击产生的（每季度会看到超过120亿次Web攻击）。这些数据以及200多名安全研究人员的合作，为我们提供了惊人的威胁情报。就像其他产品中的做法一样，我们也会把这些数据流整合到Akamai API Security中。