沒有零信任，就沒有真正的API安全

API安全是當下企業面臨的最嚴峻的網絡安全挑戰之一。在過去的12個月中，API攻擊增加了681%，而整體API流量也增加了321%。根據Salt的2022年第一季度API安全狀況報告，惡意API調用從2020年12月的每個客戶月均273萬次飆升到2021年12月的2132萬次。Salt的客戶擁有Web應用程序防火墻，并且幾乎所有客戶都擁有API網關，但API攻擊正在繞過這些安全控制。

API安全失控

API攻擊的爆發式增長也扼殺了業務創新。例如，62%的企業承認由于API安全問題推遲了新產品的推出和應用程序的推出。此外，95%的DevOps領導者和團隊表示他們在過去12個月中遭遇過API安全事件。三分之一的DevOps組織表示，盡管在生產環境中運行API，但他們的公司缺乏任何API安全策略。

根據Gartner的數據，到2024年API攻擊將加速并翻一番。與此同時，API承載的業務量也在高速增長，從2019年到2021年，與API相關的查詢量穩步增長，平均同比增長33%。

DevOps領導者面臨著在預算內按時交付數字化轉型項目的壓力，同時還需要開發和微調API。不幸的是，當DevOps團隊急于在截止日期前完成項目時，API安全管理往往成了馬后炮。當企業中的所有DevOps團隊都沒有他們需要的API管理工具和安全防護時，API安全問題很快就會失控。

更多的DevOps團隊需要一種可靠、可擴展的方法來防止API安全失控。此外，DevOps團隊還需要將API管理轉移到零信任框架，以降低數據泄露的風險。

API防護的六個階段

Cequence Security和Forrester在DevOps和API安全網絡研討會提出了API保護的六個階段。

“那些最大型的組織日常會處理數百個使用擴展API的應用程序，隨著數字化的不斷深入，未來他們將面對數萬或數十萬個API。因此，對API的管理和跟蹤將變得更加困難。”Forrester首席分析師Sandy Carielli在網絡研討會上說。

Cequence Security則將API防護劃分為六個階段，第一階段從發現和識別所有面向公眾的API開始，然后進階到庫存、合規性、檢測、預防和檢測（下圖）：

Cequence Security認為，在整個API安全生命周期采用集成的，基于生命周期的迭代方法有助于識別和管理API，同時能有效檢測和防止API攻擊。

Forrester的首席分析師Sandy Carielli指出：API需要作為易受攻擊的、未受保護的開放攻擊面進行管理。網絡犯罪分子知道API疏于防護，API攻擊近年來保持著三位數的高增長率，企業迫切需要使用零信任框架進行API安全管理。

API攻擊面管理離不開零信任

Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美國郵政服務等公司的API漏洞表明，數以千計的API沒有受到保護，是網絡犯罪分子最喜歡的攻擊面之一。API需要最少的特權訪問，并使用更基于微分段的方法進行管理。零信任的這兩個要素結合身份和訪問管理(IAM)框架來管理API，將減少企業目前難以追蹤的“流氓API”和“失蹤API”的數量。此外，應用最小權限、微分段和IAM將減少用于內部測試的端點數量（這些端點保持打開狀態，可以訪問API）。  

API生命周期需要建立在零信任之上

安全控制不應當成為DevOps的絆腳石。將零信任嵌入API生命周期首先是不信任客戶端提供的數據，并使用默認拒絕流程來刪除所有隱式信任。DevOps領導者需要將身份驗證構建到API生命周期的每個階段。目標需要是為每個API開發和部署項目設計明確的信任規則。

基于零信任的有效API治理

DevOps領導者及其團隊需要幫助平衡其業務對API不斷增長的需求與保持合規性的需求，以支持新的數字化轉型項目。面對快速地創建API的壓力，DevOps團隊首先加速業務收益，并嘗試在開發時間表允許的情況下趕上合規性、安全性和隱私性。安全控制必須轉向API級別的信任，為生成的每種類型的API定義安全上下文。

以零信任加強CI/CD和SDLC

對源代碼供應鏈的攻擊表明，零信任必須成為持續集成/持續交付(CI/CD)和SDLC等DevOps框架和流程的核心。類似SolarWinds這樣的軟件供應鏈攻擊成功地更改了應用程序的核心可執行文件，然后感染了整個供應鏈，這使得零信任成為當今DevOps團隊需要處理的緊迫問題，只有在SDLC設計階段融合安全，才能讓安全不再成為代碼生產的阻力。SDLC周期也將運行得更快，因為安全將不再是項目結束后的附加流程，這將大大改善了代碼安全治理。

API安全不能是馬后炮

為了按時完成大型數字化轉型項目，很多DevOps團隊負責人急于完成API發布周期，同時將安全性視為完成工作的障礙。這導致API的安全檢查和審計工作非常草率甚至缺失。DevOps團隊中的每個人都被迫滿足或超過代碼發布日期。API安全成為沒有人有時間處理的附加流程，導致API安全問題蔓延。

當零信任成為API和DevOps流程的設計目標時，安全性才能在整個SDLC中得到加強。此外，IAM和微分段將極大地提高庫存準確性，減少流氓或被遺忘的API的威脅，避免整個平臺或公司因網絡攻擊而癱瘓。