为您的 Google Cloud 环境引入 Shadow API 检测

企业运营着数量庞大且不断增长的 API（平均超过200 个），每个 API 都可能是敏感数据的前门。更困难的是找出这些 API 中哪些是未得到积极管理的“影子 API”。影子 API 源自善意的开发计划和遗留系统，但运行过程中缺乏适当的监督或治理，可能是造成破坏性安全事件的根源。

今天在 Google Cloud Next 上，我们很高兴地宣布在高级 API 安全中推出了影子 API 检测预览版，这是我们Apigee API 管理解决方案的一部分。 

使用 Apigee API Management 保护您的 API

Apigee 是 Google Cloud 的一站式 API 管理解决方案，可帮助您在云端和本地构建、管理和保护 API。Apigee 可通过精细控制和 50 多项内置安全政策（包括身份验证和授权）帮助确保 API 事务的可靠性。

Advanced API Security 可主动识别配置错误的 API、检测恶意机器人和业务逻辑攻击，并帮助组织迅速采取行动缓解威胁。以前，这种保护仅适用于主动管理的 API。现在，借助 Advanced API Security 中发现影子 API 的功能，您可以消除难以发现的盲点并弥补安全漏洞。

在高级 API 安全中检测影子 API

高级 API 安全现在与 Google Cloud 区域外部应用程序负载均衡器集成，以发现和识别特定区域中的 API 流量，以帮助支持监管和性能要求。 

在下面的例子中，我们展示了它在比利时地区（europe-west-1）是如何运作的。

选择您的 Google Cloud 外部应用程序负载均衡器的区域以发现相关的 API。

通过检查流经负载均衡器的请求和响应，Advanced API Security 可以提取 API 及其相关详细信息，例如 API 端点、平台、协议、参数名称和响应。您可以通过直观的界面访问有关 API 运行位置、正在运行的操作类型以及这些 API 上的最新活动的重要详细信息。

高级 API 安全目录并组织链接到所选负载均衡器的所有 API

影子 API 检测还会查看历史数据以发现新的 API 调用，并可以始终感知和检测新出现的影子 API。您可以标记需要进一步关注的单个端点，以确保在整个 API 界面上提供全面保护。

有关与您的负载均衡器关联的影子 API 端点的详细信息

检测到影子 API 后，您可以与 API 所有者协作，按照公司范围的安全和 API 管理标准建立管理。您还可以实施缺失的安全措施，以帮助降低入侵风险。

文章来源：Introducing Shadow API detection for your Google Cloud environments