对于任何一个API程序来说,建立安全策略,以确保在管理访问和保护系统免受攻击的同时,仍然参与数字生态系统,这是必不可少的。应用程序负责人必须设计、执行和治理有效的API安全策略,其中包括API网关的使用。
一、API安全的四个主要挑战
1.应用程序编程接口(API)因缺乏保护而遭受攻击并导致数据泄露的数量越来越多。
2.仅仅使用传统应用程序的安全解决方案来保护web API是不够的。
3.组织不断添加和使用新的API,意味着API安全的工作不是一次性的。
4.现代应用程序体系结构发展趋势(包括移动设备、微服务设计模式和本地/云混合使用)使得API安全性具备一定的复杂性,很少有单一的“网关”来实施保护。
二、API安全策略相关建议
负责应用策略和治理的应用安全负责人应该做到以下四点:
1.发现并评估组织使用的API,以确保它们被整个web应用程序安全体系结构覆盖。对于无法找到或API无法进行有效保护。
2.在API网关等基础设施中实现API安全之前,请先了解其功能。
3.采用持续优化的API安全方法,不断发现、监控和保护API。
4.使用分布式实施模型来保护整个体系结构中的API,而不单局限在某一点。
三、战略规划假设
预计到2022年,API滥用将成为导致企业web应用程序数据泄露最常见的攻击载体。
四、API安全策略介绍
对于公开web API的组织而言,他们的API安全策略必须均衡访问的易用性(确保API被采用)和控制(防止滥用或攻击)。就像银行抢劫犯攻击银行是因为“钱就在那里”一样&