高级 API 安全中的操作和警报简介

API 提供对应用程序功能和数据的直接访问，使其成为强大的开发人员工具。不幸的是，这也使它们成为威胁行为者的最爱目标。根据Google Cloud 的 2022 年 API 安全研究报告，主动识别 API 安全威胁是 60% 的 IT 领导者最关心的问题。当前保护 API 的大多数方法都侧重于检测安全漏洞，但一旦检测到 API 安全问题，迅速做出反应和响应对于保持强大的应用程序安全态势同样重要。

这正是Apigee API Management 的高级 API 安全可以提供帮助的地方。它是一个可以自动检测错误配置、恶意机器人攻击和严重滥用的附加组件，今天，我们很高兴地宣布两个新的高级 API 安全功能的公开预览版：

• 警报是一种在检测到安全威胁或异常时立即告知您的通知。
• 操作是根据预定义的条件响应安全威胁或异常而触发的自动化操作。

通过减少威胁检测和通过自动化解决之间的时间，最大限度地减少潜在影响，并使您的 API 安全方法更加主动，操作和警报增强了高级 API 安全功能。

高级 API 安全中的操作

操作可自动执行操作，包括允许、拒绝、标记和重定向来自特定客户端的 API 流量。您可以选择手动指定这些客户端，也可以依靠高级 API 安全中的内置检测规则。这些检测规则可识别我们的机器学习模型检测到的已知 API 威胁或模式，从而查明恶意活动，例如 API 抓取或异常。

为了阻止 API 攻击，开发人员通常需要通过 Web 应用程序防火墙 (WAF) 或实施策略手动排除特定 IP 地址——这个过程需要每次更改一个完整的开发周期。更糟糕的是，这些流程通常对不断更改 IP 地址的自适应攻击无效。但现在，借助 Actions，开发人员可以自动防御恶意流量。

它是如何工作的？

在 API 代理处理流量之前，您可以选择应用以下操作：

1. 通过在发送到 API 代理的请求中添加最多五个标头来标记请求，让您能够精确定义代理内部流量的行为。例如，您可能不想拦截可疑流量，而是跟踪和观察它以进行进一步分析。
2. 拒绝满足特定条件的请求，例如源自抓取活动的请求。您甚至可以自定义发送回客户端的响应代码。例如，您可以拒绝来自之前被隔离并被识别为可疑的特定客户端的流量。
3. 通过覆盖任何本来会被拒绝操作阻止的流量来允许请求。例如，您可以允许来自特定客户端的流量，即使这些流量被捕获在与拒绝操作关联的检测规则中。

在高级 API 安全中创建操作

您还可以选择暂停所有活动的安全操作，确保 API 请求不中断。您可能希望将此功能作为故障转移机制，或者在少数受控情况下允许所有流量。您可以通过分析与特定操作相关的 API 流量数据来进一步完善安全措施。

分析与操作相关的 API 流量数据

高级 API 安全中的警报

当发现潜在的安全事件或异常时，警报会通知相关利益相关者。借助我们新的警报功能，您可以收到任何异常 API 流量（由检测规则识别）或安全评分的任何变化的通知。

如今，用户必须不断监控其安全评分或仪表板以识别新的攻击。现在，借助高级 API 安全，您可以配置警报，在检测到异常流量时通过文本、电子邮件或其他渠道发送通知。

它是如何工作的？

您可以使用云监控设置警报，以便在发生潜在安全事件时收到通知，甚至可以自定义接收这些警报的方式，无论是通过文本、电子邮件还是其他渠道。

例如，如果某个地区的可疑请求突然激增，您可以设置警报以便立即收到通知。此警报可确保您始终了解情况并能迅速采取行动。

后续步骤Next steps

最大限度地缩短检测和缓解 API 安全威胁所需的时间是最大程度降低负面业务影响的最重要方法之一。Advanced API Security 将大部分负担转移到平台上，让开发人员能够最大限度地减少开销，同时保持精确的控制。Advanced API Security 是 Apigee API Management 的附加组件。

文章来源：Introducing Actions and Alerts in Advanced API Security