如何创建有效的API安全策略（二）

5、API安全策略分析

三、了解API安全性的相关功能

API网关是提供API安全性的强有力的工具，由于它可以支持多种功能。可是，众多的信息也会让人一时不知所措，让咱们慢慢梳理。如图1展现了API安全策略中的多个“构造功能模块”，尽管许多构造模块的功能是不言自明的，但在某些场景下，他们在API安全性方面具备特定的用途。例如，在使用API密钥的客户端身份验证的场景中能够执行签名验证，签名经过客户端调用REST API来建立）以显示对该API密钥的拥有权。

为了不被API安全产品的众多功能所淹没，以致于购买了一个功能最多的产品，而不是您真正须要的产品，咱们建议您在这种状况下，应该采用功能方法来实现API安全。术语“策略”一般用于描述API安全性中涉及的工做流程。将所需的API安全策略按照步骤图列出来，而后使用图1中的一些API安全构造功能模块，而后，将产品功能映射到当前基础设施中，甚至能够将其用做概念验证的输入，（例如，经过询问供应商如何使用其产品来配置此API安全策略。）

下图2展现的是此类API安全策略的示例。注意，该策略用于攻击保护以及身份验证。它不只对API的请求起做用，同时也对响应起做用。在将敏感数据返回给客户端以前，对其进行标记，而后验证响应来确保它是安全的。虚线表示在何处使用到其余产品的连接，例如用于身份和访问管理基础设施的连接。

上图2所示的安全策略一般使用API网关来实现，它一般做为完整生命周期API管理解决方案的一部分，将API网关与API开发者门户结合起来。固然，您也能够利用应用安全基础架构中的其余产品来实现这些功能。下图3在图2安全策略基础上，增长了产品类别。

应用交付控制器（ADC）已经在许多组织中用于传输层安全性（TLS）终止。除此以外，它还能够用于API的传输安全，与访问管理的集成可能涉及到访问管理服务或软件的链接。例如，含有身份识别服务（IDaaS）（例如Okta，它也提供API访问控制），或来自访问管理软件供应商ForgeRock和Ping Identity，二者均提供API访问控制。内容检查能够使用web应用程序防火墙WAF，例如Imperva。API的WAF功能也能够包含在应用程序控制（ADC）或内容分发网络（CDN）解决方案中(如Akamai，它也提供API保护)。

自动程序bot的攻击对于API来讲尤为须要关注，由于从设计上讲，API是以编程方式调用的。所以，区分“好的”API调用和“坏的”API调用是很重要的，后者可能试图获取数据。自动程序bot的攻击缓解对策可能由已经为web流量中执行自动程序bot的攻击缓解的解决方案（例如，Distil Networks或ShieldSquare）或经过包含bot攻击缓解对策的API管理解决方案（例如Google的Apigee Sense）来提供。

经过使用功能方法，您可能会发现API网关就足以交付所需的API安全策略。可是，若是须要API网关没有提供的功能（例如高级自动程序bot的攻击缓解对策），那么能够由基础设施中其余产品的功能来提供。

（未完待续）

未经赞成，本文禁止转载或摘编。