本文探讨了API在数字时代的重要性及其面临的安全挑战。API已经成为数据交互的关键通道,但也带来了安全问题,如资产管理混乱、应用安全风险和数据安全风险。IAST技术通过插桩和流量分析等手段,能有效发现和管理API资产,进行威胁检测,并提供主动防御能力,确保API安全。
随着云原生和软件开源技术的蓬勃发展,越来越多的开发平台和第三方服务快速涌现,应用系统与功能模块的复杂性不断提升,应用开发深度依赖于应用程序接口(Application Programming Interface,API)之间的相互调用。近年来移动应用深入普及,促使社会生产、生活活动从线下转移到了线上,API在其中起到了紧密连接各个元素的作用。为满足各领域移动应用业务需要,API的绝对数量持续增长,通过API传递的数据量也飞速增长。开发框架的演进也是推动API发展的重要因素,随着容器化、微服务的发展,API作为支撑的重要技术也逐步被大规模的使用。
API作为连接服务和传输数据的重要通道,已经从简单的接口转变为IT架构的重要组成部分,成为数字时代的新型基础设施,以及数字化时代一种重要且特殊的数字化资产,随之而来的则是对于API安全问题的思考。本文结合API发展趋势与面临的安全风险,以IAST代码疫苗技术为抓手,深入讨论IAST技术在API安全方面的应用。
API安全基础介绍
API发展
API是系统不同组成成分的衔接约定,在当下已成为应用间连接服务和传输数据的重要通道,成为数字时代的新型基础设施。
API服务的发展历程也可以看做从单体架构走向微服务架构不断变化的过程。随着互联网技术的不断发展,其IT基础设施架构日趋复杂,传统的单体架构已经不适用于当下敏捷的要求。云和容器这两种技术的兴起,为实现企业持续集成和快速部署项目的需求,微服务已成为高速增长公司中构建应用程序的首选。伴随着企业数字化转型,企业应用经历了从内部服务调用到开放平台的场景需求变化,API也经历了从1.0单体架构到2.0 SOA架构再到3.0 REST架构的技术变革,实现通过API输出的资源来完成产品和服务的迭代升级。
图1 API发展历程
API安全挑战加剧
根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次,API承载了应用各组件间数据的流动,成为数据交互最重要的传输方式之一,也因此成为攻击者窃取数据的重点攻击对象,据统计有超过四分之一的组织在没有任何安全策略的情况下运行着基于API的关键应用。根据Salt Security的报告,82%的组织对自己是否了解API资产毫无信心,同时还有22%的组织表示不知道如何发现哪些API存在安全风险,面对API安全威胁不断复杂化、多样化的趋势,政府与企业等的数字化系统正在面临来自多方面严峻的安全挑战。
最低0.47元/天 解锁文章
684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
