什么是API网关-电子发烧友网

RSA Conference 2022于旧金山时间6月召开，大会的创新沙盒（Innovation Sandbox）大赛作为全球网络安全行业技术创新风向标，每年都备受瞩目。

今年的创新沙盒大赛冠军在激烈地角逐中诞生，初创企业Talon Cyber Security公司力克群雄，成功拿下创新沙盒大赛冠军，成为网络安全行业眼中的“明日之星”；Talon Cyber Security公司技术方向为企业提供专有的安全浏览器Talon Work，可为用户提供深度安全可视以及SaaS应用的控制，以求简化未来工作对安全的需求。

创新沙盒大赛十强中还有一个提供API安全的公司Neosec。说起API安全，大家都不陌生，在2019年的RSA Conference上，提供API安全的Salt Security公司闯入十大创新沙盒，当前Salt Security已经成长为估值达到14亿美金的独角兽公司。但2020、2021年API安全在RSAC的创新沙盒中未有露面，有些沉寂，直到2022年又再度露面，说明API安全一直很重要，一直有大量公司在重点投入，那我们今天就看看API安全是什么。

什么是API

API应用编程接口（Application Programming Interface）是一组用于构建和集成应用软件的定义和协议。

今年RSA大会的主题是转型（Transform），转型体现在各个方面，从疫情影响下的办公形式、到国际经济形势的变化等，其中也包括当前各行各业数字化转型下企业架构及业务的转型。

以下来自《API驱动数字化转型的5大趋势》中的描述：

数字化转型依赖于企业的整合能力，即将其服务、能力和资产打包到可重复利用的模块化软件中。每个企业都在其系统中储存了有价值的数据，然而要利用好这些价值，就要通过 API 的能力打破数据孤岛，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。

即使一些系统从未设计互通能力，API 也能让开发人员轻松访问并组合不同系统中的数字资产，从而更好地实现整体协同。API 是软件和软件之间进行“对话”的最基本形式，如果将开发人员的经验融入 API 的设计中，（而不是像定制的集成项目那种，经验不可被复制）它们将变得非常强大，从而使开发人员能重复使用数据和系统功能来开发新的应用程序。

API传输格式有多种多样，比如当前较流行和被产品遵守的Open API规范（https://swagger.io/）。

什么是API网关

API网关（API Gateway）提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准API服务，借助API网关，可以快速地实现内部系统集成、业务能力开放。

API网关负责将客户端的各种请求路由到相应的服务，然后向请求者发送回复。API网关在客户端和微服务系统之间维护安全连接，并管理公司内外的API流量和请求，包括身份认证、权限控制、安全检测、负载均衡等，同时还需要提供API的生命周期管理。

随着业务的发展，API网关也集成越来越多的功能，主要的功能有：

API生命周期管理：包括API的创建、发布、下线和删除的完整生命周期管理功能。通过API生命周期管理功能，您可以快速、高效的开放成熟的业务能力。

用户授权及访问控制：访问控制包括对访问API的用户进行身份验证和授权检查，网关可以使用众多开放标准来确定消费者的身份或有效性，如OAuth、JWT、API Keys、HTTP Basic Auth等，也可以使用非标准方法在消息标头或有效负载中查找凭据。访问控制策略可以限制API的调用来源IP，可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

响应转换：响应转换是API网关的重要功能，它充当信息的“转换者”，包括协议的转换、格式的转换；比如前端可能是HTTP协议，到后端服务器就采用私有协议，前端为JSON格式请求，转换为后端XML格式的请求，以及请求URI的转换等等。

流量控制及负载均衡：针对不同的业务等级、用户等级，可实施API的请求频率、用户的请求频率、应用的请求频率和源IP的请求频率的管控，用于保障后端服务的稳定运行；并可针对后端服务提供负载均衡的能力。

API安全检测及防护：API为对外提供业务的接口，暴露在外，必然会面临各种各样的安全问题，包括API误用、API滥用、API漏洞入侵、数据泄漏等，需要有API安全检测和防护模块提供相应的安全保障。

什么是API安全

类似Web的安全TOP10一样，OWASP也总结了API安全 Top10，见下表：

OWASP API 安全 Top10 – 2019

随着API不断变化及应用的越来越广泛，API的安全问题也会越来越重要，基于API的攻击也在不断变化，相应的API安全检测防护技术也在不断变化，已经不局限于简单的通过AI进行发现和异常检测，在RSA Conference 2022的活动中，除了传统大的安全公司外，另外有近10家API安全相关的公司来参展，比如：

Neosec公司引入XDR技术，基于历史API数据的行为和上下文进行威胁分析，通过API进行威胁狩猎及自动化响应编排等。宣称是能防护OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案厂商CequenceSecurity：

While othervendors rave about protecting against the OWASP API Security Top10，CequenceSecurity is the only solution that protects your organization fromevery type of attack on the OWASP API Security Top 10，OWASPWeb Application Security Top 10 and OWASP Automated Threat list.

Noname Security公司宣称是唯一一个主动保护环境免受API安全漏洞、配置错误和设计缺陷的解决方案厂商：

The Noname APISecurity Platform is the only solution to proactively secure yourenvironment from API security vulnerabilities，misconfigurations，anddesign flaws，whileproviding API attack protection with automated detection andresponse.

Wib公司宣称是第一个提供全生命周期API安全平台的厂商：

Wibis the first full lifecycle API Security platform，witha suite of products covering the entire lifecycle of APIs -development，testingand production.

在RSA大会上出现的还包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等厂家，各个厂家基于不同的技术，提供不同的差异化API安全检测和防护能力，满足不同场景需求。

我眼中的API安全

API管理平台通常依赖于传统的安全防护方式，例如身份验证、授权、加密、消息过滤和速率限制。虽然这些都是重要的基础安全功能，但在保护API方面却远远不够。经统计，96%的漏洞发生在经过身份验证的API上。所以，API安全是API业务重要的组成部分的，API安全要重点关注以下几个方面：

API的发现：

可持续的对API使用情况进行检测，发现除了未被注册/登记的API外，还包括被滥用、误用的API。

Bot识别及防护：

Bot不仅可以探测API，爬取数据，还可以通过暴力破解、撞库等直接非法侵入，甚至还可以通过自动化扫描，发现漏洞，进而入侵；以及利用大量的Bot发起DDoS攻击等。

API入侵检测：

检测利用API漏洞的攻击，包括API业务平台的Web服务器及中间件漏洞。

API的数据泄漏检测：

检测通过API传输的敏感数据、隐私数据，防止数据泄漏。

威胁检出只是其中关键功能，还需要考虑API的发现和获取，尤其是当前API几乎都是加密传输情况下，以及检测出攻击、异常后的实时阻断能力。