解码API安全-挑战、威胁和卓越实践

API安全面临的挑战

API处于数字化体验的中心，移动应用、WEB网站和应用程序的核心功能、微服务架构、监管机构的要求等等，均离不开API的支持，根据Akamai的一项统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次。与此同时，针对API的攻击成为了恶意攻击者的首选，相对于传统WEB窗体，API的性能更高、攻击的成本更低，Gartner预测，到2022年API滥用将是最常见的攻击方式。之所以API安全问题如此严重，主要是因为API安全面临着如下挑战：

(1) 应用和逻辑迁移上云，暴露更多攻击面

随着云计算技术的广泛应用，越来越多的Saas被迁移上云，在为更多的用户提供服务的同时，也将API暴露到云中，相对于传统数据中心的单点调用，东西向和南北向都可能成为API的攻击面。

(2) 创新强调速度和灵活，忽略构建API安全

敏捷开发模式是当今主流开发模式，敏捷开发强调个体和互动、工作的软件、客户合作、响应变化，虽然提升了创新速度和灵活性，但是对于如何构建API安全性却缺少合适的方法，导致在软件构建过程中难以顾及API安全。

(3) API接口对外不可见，引发多种攻击隐患

由于API是由程序员书写，除了编写代码的程序员，很少有人意识到这些API的存在，缺少维护的API经常容易被忽略，然而恶意攻击者却可以利用网络流量、逆向代码、安全漏洞等各种手段找到不设防API并实施攻击。

(4) 组织经常低估API风险，造成安全措施遗漏

人们通常会假设程序会按照想象中的过程运行，从而导致API被攻击的可能性以及影响被严重低估，因此不去采取充分的防护措施。此外，第三方合作伙伴系统的API，也容易被组织所忽视。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!