如何创建有效的API安全策略（一）

对于任何一个API程序来讲，创建安全策略，以确保在管理访问和保护系统免受攻击的同时，仍然参与数字生态系统，这是必不可少的。应用程序负责人必须设计、执行和治理有效的API安全策略，其中包括API网关的使用。

1、API安全的四个主要挑战

1.应用程序编程接口（API）因缺少保护而遭受攻击并致使数据泄露的数量愈来愈多。

2.仅仅使用传统应用程序的安全解决方案来保护web API是不够的。

3.组织不断添加和使用新的API，意味着API安全的工做不是一次性的。

4.现代应用程序体系结构发展趋势（包括移动设备、微服务设计模式和本地/云混合使用）使得API安全性具有必定的复杂性，不多有单一的“网关”来实施保护。

2、API安全策略相关建议

负责应用策略和治理的应用安全负责人应该作到如下四点：

1.发现并评估组织使用的API，以确保它们被整个web应用程序安全体系结构覆盖。对于没法找到或API没法进行有效保护。

2.在API网关等基础设施中实现API安全以前，请先了解其功能。

3.采用持续优化的API安全方法，不断发现、监控和保护API。

4.使用分布式实施模型来保护整个体系结构中的API，而不单局限在某一点。

3、战略规划假设

预计到2022年，API滥用将成为致使企业web应用程序数据泄露最多见的攻击载体。

4、API安全策略介绍

对于公开web API的组织而言，他们的API安全策略必须均衡访问的易用性（确保API被采用）和控制（防止滥用或攻击）。就像银行抢劫犯攻击银行是由于“钱就在那里”同样，使用API来提供对应用程序和关键业务数据的访问天然会致使API安全事件，常见的是数据泄露。尤为是开放式网上银行API的增加，这类状况注定会变得更加糟糕。

与web应用防火墙和其余必要的应用安全基础设施结合使用的API网关，可以用来实现API安全。可是，纯粹基于边缘的web应用程序安全防护策略并不足以应对API带来的新挑战。内部API的普遍使用，再加上移动访问和对云API的日益依赖，从边缘防护是远远不够的，组织应该从总体考虑API安全性的问题。

本项研究描述的最佳实践解释了组织应该如何使用API安全性来实现其集成和数字业务计划。

5、API安全策略分析

1.发现并评估组织使用的API，以确保它们被整个web应用程序安全体系结构覆盖。

API是应用程序交付的一部分，与移动和浏览器接口的交付并行，同理，API安全也应该是整个应用程序安全体系结构的一部分。首先，肯定组织中使用其产品的供应商的当前功能。这些可能包括web应用程序防火墙（WAF）、应用交付控制器（ADC）、API管理和内容交付网络（CDN）软件。调查这些供应商的短时间产品路线图，看下他们是否具备或者正在添加API安全功能？若是没有，考虑从API安全性更强的供应商那里添加新的基础设施。

标准是确保API安全性与组织的总体应用程序安全体系结构协同工做的关键。特别是，要确保支持身份标准，如OAuth 2.0、SAML和OpenID Connect，用这些标准来与身份和访问管理解决方案进行交互，所以不须要新的身份库。

另外，还要考虑组织所使用的API，可能引发的安全问题，例如数据泄露。

2.让每一个API安全利益相关者都参与进来

API安全的共同利益相关者如表1所示。在制定API安全策略时，必须考虑到全部这些利益相关者。

表1：API安全利益相关者

资料来源：Gartner（2017年12月）

如上表1所示， API产品经理是关键的API安全利益相关者，他们也是API程序成功的关键。Gartner在2018年的CIO调查中发现，在最优秀的数字执行者中，42%的人担任了这一角色，而在靠后的那些数字执行者中，这一比例仅为6%。API安全性使API产品经理可以与业务团队协做，一块儿肯定API访问控制能够在哪些地方启用API分层访问级别。在某些状况下，这可能与API货币化有关，尽管大多数API不会直接货币化。API产品经理还必须确保，添加API安全措施不会使得API难以理解和使用。所以，他们充当着API安全决策的焦点。如表1所示，安全主管和防欺诈主管也应该与API产品经理一块儿参与进来。

（未完待续）