云計算架構的出現使企業重新思考

云計算架構的出現使企業重新思考應用程序的擴展方式，從而推動了企業擺脫通過虛擬機等基礎設施部署全棧應用程序，而是通過創建由多個互操作服務組成的 API，采用微服務方法。

根據Gartner的預測，到2023年，超過50% 的B2B交易將擺脫傳統方式，轉而通過實時API進行。

值得警惕的是，雖然 API 的市場規模增長迅速，但是安全威脅也在增長。目前，雖然API 網關為 API 安全提供了各種核心功能，在 API 管理和 API 交付中發揮了重要作用，但是解決 API 的新興風險需要傳統 API 網關范圍之外的各種新的復雜技術。

 什么是API？

API 是應用程序編程接口首字母縮寫，是計算機程序相互交互的一種方式，充當了類似于繁忙城市中的交通控制系統的中間人，確保不同區域之間的交通無縫銜接。

 什么是API網關？

在典型的微服務架構中，API 網關是一種指令和協議 管理工具，用于處理來自客戶端的請求并決定將它們路由到哪些微服務以獲取響應。

我們可以將其視為一種交通警察或總機，確保將請求傳遞到正確的位置，以便在獲得響應的過程中得到正確處理。

對于微服務，必須存在對高效 API 網關的需求。主要的云供應商意識到 API 網關還可以為公司提供一種便捷的方式來啟動和運行他們的云服務。

 API安全需要什么？

眾所周知，雖然 API 網關能夠為開發人員調用 API 提供了更明顯的安全層，但是仍然有改進的空間。如果網關無法適應其資源，則漏洞管理將成為一個令人難以置信的挑戰。

根據 Gartner 的說法，到 2022 年，API 濫用將從不常見的攻擊向量轉變為最常見的攻擊向量，從而導致企業 Web 應用程序的數據泄露。

人們想要減輕面臨的 API 安全威脅，需要正確的安全實施戰略和程序。另外，為了保證 API 的安全還應該制定一個包含審計標準、變更控制系統、管理流程、訪問控制措施等在內的管理計劃。

 為什么API網關的安全性還不夠好？

我們應該把 API 網關和 API 安全區別開來，不能混為一談。前者的訪問控制功能，僅僅是 API 安全的一部分。更糟糕的是，開發人員確保應用程序正常運行并執行其設計的任務時，攻擊者可以找到巧妙的方法將應用程序變成武器。正如 OWASP API 十大安全文件總結的一樣，API 安全威脅同樣包括許多伴隨傳統 Web 應用程序攻擊的漏洞。

隨著支持 API 的服務價值激增至數百萬美元，黑客會努力嘗試找到新的方式來獲得不安全的密鑰。主要的三個關鍵驅動因素如下。

1. 利用有效 API 令牌的復雜攻擊可以成功針對應用程序業務邏輯和數據層漏洞。

2. 網絡攻擊從有效的 API 令牌中獲取里程數，可以成功的攻擊應用程序的業務邏輯或數據層，原因是它們的設計是針對允許使用 API 的漏洞。

3. API 網關的主要障礙是它只能監控端點，盡管如此，它仍然不能完全描述其提供的可供消費服務的完整 API 模式（RESTful API 和 API 交互方式）。

 可能危及API安全的三個常見風險 

處理 API 數量的方法乏善可陳

缺乏關于公共的、合作伙伴的、私人的和復合的 API 總數的信息，使安全團隊無法理解一個 API 的真正暴露和風險。

黑客與開發人員

黑客通過使用工具，甚至更復雜的方法，侵入開發者層面的 API，之后可以利用細微的錯誤來映射 API，了解其結構，并找到代碼本身的漏洞。

小企業 API 安全問題缺乏關注

相較于大型企業，小企業無法提供必要的措施來充分保障其數據，因此所擁有的安全性較低，面臨的安全風險也會增多。

WAAP 應運而生

現階段，面臨的 API 安全威脅增加，防火墻和網關等傳統安全工具無法始終為用戶提供防止 API 攻擊所需的防御，WAAP（網絡應用程序和 API 保護）是必不可少的。

另外，考慮到傳統的 Web 應用程序防火墻解決方案旨在防止基于每個請求的惡意活動。這意味著它們不會阻止所有形式的網絡釣魚，包括魚叉式網絡釣魚攻擊。當黑客利用受害者通過電子郵件提供的信息，直接在公司的環境中進行攻擊時，WAAP 能夠確保 API 被屏蔽，不會導致安全隱患。

WAAP 解決方案以四個關鍵功能為中心：

DDoS 保護

下一代網絡應用防火墻（WAF）

機器人管理

API 保護

通過使用 WAAP 解決方案監控進入應用程序的所有互聯網流量，企業可以檢測惡意活動并確保只有受信任的客戶才能在平臺上進行合法交易。WAAP 解決方案利用完全托管和基于風險的應用程序安全方法來管理 Web 應用程序，能夠防止網絡威脅的異常活動。

注：本文內容收集自 helpnetsecurity.com，制作者對其完整性負責，但不對其真實性和有效性負責。

參考文章：

https://www.helpnetsecurity.com/2022/07/06/why-your-api-gateway-is-not-enough-for-api-security/