与Dan Barahona一起讨论确保API安全的基本支柱

“治理、测试和监控——这是关于 API 安全的核心建议，要考虑这三个要素。”–APISec University 创始人兼 APISec 发展主管 Dan Barahona。 

随着 API 变得越来越普遍，它们也越来越成为黑客的目标，因此确保 API 安全是必需的。本周，在API Intersection上，我们认为，还有什么比邀请 API 安全专家 Dan Barahona 本人来庆祝“安全九月”更好的方式呢？ 

作为 APIsec University 的创始人和APIsec的增长主管，Dan Barahona 拥有超过 20 年的网络安全经验。他创建了 APISec University，以提高人们对 API 风险和安全的认识和教育，他们的许多课程都向公众开放。事实上，我刚刚完成了一门关于API 文档最佳实践及其与安全关系的完整课程，我强烈建议大家查看一下。 

我们讨论了组织在管理和保护 API 方面面临的各种挑战，例如 API 蔓延以及需要对其 API 进行更多可见性保护。以下是一些快速取胜的方法，可帮助您走上正确的 API 安全之路。最重要的是，确保您拥有主动的API 安全实践，并在开发过程的早期解决安全问题。

赋能思维

在深入探讨 API 安全的三大支柱之前，让我们确保我们都拥有正确的心态和方法。首先要确保您的团队 A) 相互沟通，B) 有能力在 API 设计流程的早期阶段注入安全性。 

“安全团队必须与产品团队沟通，对吧？而且这必须是一种合作。你可能认为团队正在这样做，但大多数团队还没有发挥出全部能力，”Dan 分享道。 

Dan 强调了赋能思维的重要性，安全团队应与开发人员合作，提供对安全和开发都有益的工具和流程。请不要让您的开发人员一无所知，而是让他们参与如何尽早将安全性纳入 API 开发中。从本质上讲，在设计阶段推动安全性越早，对所有参与者来说就越好。

不过，不仅开发人员和安全团队应该密切合作，产品经理也应该密切合作。确保您的产品经理尽早了解安全团队的需求，并经常与开发团队沟通。 

API 安全的三大支柱

掌握正确的方法后，您就可以深入了解 API 安全的三大支柱。要牢记的主要组成部分是治理、测试和监控。 

治理

API 安全治理始于确保安全的 API 开发实践。这包括定义设计、开发和部署 API 的标准和最佳实践。标准化和实施适当治理的最佳资源之一是全面的文档。 

相信我，拥有定义明确的文档可以帮助开发人员了解如何使用 API，包括身份验证要求、版本控制等。 

治理存储库中的另一个武器是安全样式指南。您的 API 团队可能已经使用样式指南来自动执行数据格式或端点命名约定。通过精心挑选的一组可执行的安全规则，您可以使用相同的工具来大大增强对数据盗窃和资源利用的防御能力。

请注意，您的治理还应解决授权控制问题，并确保只有授权实体才能访问 API，并且始终如一地执行授权，这对于安全性至关重要。

测试

必须认识到 API 是编程接口，并且测试它们与测试常规用户界面有很大不同（即，由于可能的排列组合数量众多，传统的点击测试不适用于 API）。 

相反，实施自动化和程序化测试才是正确方法。虽然我们也谈到了在设计过程中将测试移至左侧的重要性，但这只是另一个友情提醒，等到 API 投入生产后再测试安全问题并不是正确的做法。有关测试技巧的更多信息，请查看我们之前发布的涵盖该主题的博客。 

监控

最重要的是，在监控方面，持续监控至关重要。组织不应仅仅依赖定期的安全测试，而应持续监控 API，以便及时检测和解决安全问题。监控可以帮助立即防止对 API 内敏感数据或功能的未经授权的访问，因此请务必不要错过这一步！

您还可以使用网关执行监控任务，例如设置 IP 白名单和监控高流量活动。网关通常可以起到增强 API 端点安全性的作用。

 文章来源：Security September: Essential Pillars to Ensure API Security with Dan Barahona