API 安全 101：是什么、如何做、为什么做

API在软件应用架构中占据重要地位，它们通过构建多服务之间的通信管道，革新了Web应用的使用方式。随着对新颖和颠覆性数字解决方案需求的增长，确保API安全性变得更加关键。

根据麻省理工学院关于一起重大银行数据泄露的研究，尽管该银行在IT基础设施和高效安全系统上投入巨资，但仍遭遇严重的未授权外部干预，导致客户信息被泄露。此次泄露影响了美国约1亿人及加拿大约600万人。

这类安全漏洞的影响不容小觑，API继续成为网络攻击者的危险入口。本文将讨论API安全，并探讨API安全策略为何成为当今世界应用开发生命周期和基础设施中的关键部分的一些基本原因。

什么是 API 安全？

API 安全是一套旨在保护组织API的最佳实践。除了基础设施安全参数之外，公司还应在应用逻辑层面对API进行编程式保护。应当制定适当的API权限和规则，确保只有目标用户群才能使用合适的API。

为什么 API 安全很重要？

API是当今数字生态系统的支柱，它们深度融入软件系统中，是成功应用执行的重要推动力。由于软件行业广泛依赖API，因此为API提供访问的组织必须使其更加安全和可信。

如今，典型的客户端-服务器应用通过API交换信息。此外，第三方API消费也是一种非常流行的模式，用于将API与现有系统集成。归根结底，问题在于我们如何能够安全地管理这些过程和集成，以提供流畅、透明且值得信赖的用户体验。

除了传统的客户端-服务器或第三方通信外，API也是微服务中的关键利益相关者，微服务是当今最具颠覆性和广泛使用的应用架构模型。因此，保护API以减少被攻击的机会，贡献于透明的API经济，成为企业无法回避的责任。

API 和 Web 界面之间的差异

在安全问题上，API和Web应用存在一些必须解决的差异。

例如，对于Web界面，安全参数围绕着下载和显示整个网页作为一个单元的现象。因此，为这类应用设计的工具被优化，以服务于保护这种模型的目的。

另一方面，客户端-服务器通信的API革命带来了自己的挑战。由于基础设施的基本变化，用于保护Web界面的工具无法直接用来保护API。API更加程序化，使其更容易暴露于黑客干预和自动化。

以下是一个比较两者的实用表格：

常见的 API 安全错误

大多数API都向公众开放以供使用。然而，在提供API访问权限时，企业必须警惕这些常见的安全错误：

逻辑缺陷

在许多情况下，API安全漏洞的重要部分是由逻辑缺陷和漏洞引起的。开发和运营团队常常忽视逻辑缺陷的影响，并使用仅测试基础设施层并保护它的安全工具。然而，业务逻辑层对安全漏洞更加敏感，现在是黑客的主要攻击目标。

过度依赖规范

在保护API时，常见的错误是依赖基于规范的自动化工具。这些工具依赖于精确的规范，这不适用于逻辑缺陷。

内联安全解决方案

依赖内联安全解决方案也无法阻止逻辑漏洞在生产部署前被暴露。

延迟自动化

虽然组织常常使用手动渗透测试来保护其API，但这种方法耗时且不够频繁，使组织易受漏洞影响。

如何解决 API 漏洞

了解 API 安全性并找出潜在的安全错误是不够的。无论您是小公司还是大企业，找到有效管理 API 安全性的方法是本次讨论中最重要的部分。

随着我们越来越多地推进数字化参与和基础设施改进，使用自动化和可靠的内部或第三方工具防止 API 安全漏洞必须成为您的首要任务。

保护 API 免受网络攻击的最重要方面是保护 API 内部编写的逻辑。在将系统部署到生产环境之前，揭露逻辑缺陷和漏洞非常重要。

一旦系统部署并通过网络可用，就会有数百万黑客在寻找机会干预您的系统，窃取重要信息并破坏系统。

虽然可以使用防火墙和偶尔的渗透测试来预防 SQL 注入或 XSS 攻击等常见漏洞，但专门针对 API 的攻击频率正在增长。因此，企业需要依靠工具来帮助他们测试应用程序并在交付生产之前找出潜在的逻辑漏洞。

文章来源：API Security 101: The What, The How, and The Why