不可混为一谈 API网关仅是API安全中的一部分

Gartner曾表示，到2023年，超过50%的B2B交易将通过实时API进行，而不是传统方式。

API的市场正在增长，与之相关的威胁形势也是如此。虽然API网关为API安全提供了各种核心功能，在API管理和API交付中扮演着至关重要的角色。然而，为了应对新出现的API风险需要各种更新且更复杂的技术，显然，这超出了传统API网关的范围。

在典型的微服务体系结构中，API网关是一个指令和协议管理工具，它处理来自客户端的请求，并决定将它们路由到哪些微服务以获得返回的响应。微服务对于API网关的效率有着更高的要求，而主流的云服务提供商也意识到API网关可以为企业提供更为便捷的方式去启动和运行他们的云服务。

当然，尽管API网关为开发人员提供了一个更可见的API调用的安全层，但仍有改进的空间。如果网关不能适应其资源，漏洞管理将成为一个难以置信的挑战。根据Gartner此前的预测，到2022年也就是今年，API滥用将从一种不常见的攻击方式变成最常见的攻击方式，从而导致企业网络应用的数据泄露。

总体而言，我们不能将API网关与API安全混为一谈，因为前者及其访问控制功能通常是API安全的一部分。开发人员确保应用程序正常工作，并按照他们的设计做他们想要做的事情，但攻击者才是那些找到聪明方法将应用程序变成武器的人。正如OWASP API十大安全文档所总结的那样，API安全威胁包括许多伴随传统Web应用程序攻击的漏洞。

可以看到，API网关的主要问题是在于它只能监控终端，采用包括身份验证、授权等方式来达到防护的目的，正如前文所说，它对于安全是有帮助的，但是在应对新的威胁时，单靠API网关的这些能力是远远不够的。

这类较为传统的安全产品难以应对当前的API风险之外，以下几个问题也是API安全难以做到位的原因：

1、对自己所拥有的API资产不清晰。随着API数量急剧增长，令企业除了自身的资产之外，还会缺乏对合作伙伴、第三方的API总量的了解，这就令安全团队无法了解到企业真实的API暴露和风险情况。

2、企业对API安全的重视程度不够。很多企业总是会抱着一种侥幸的心理——“那么多的企业，为什么中招的一定会是我？”，另外就是在相关安全建设的投入上忽视了API安全领域。

而在更为具体的挑战方面，则体现在API风险感知和API威胁阻断这两大难题上。

那么API安全到底应该如何做？业内的永安在线提出的“基于情报建立API安全基线”的思路值得借鉴。

首先，通过旁路流量分析，能够以持续动态的方式去梳理API资产，做到只要API一上线或开始服务就能够被快速梳理出来，结合外部情报对流量分析的能力能够不断更新API识别的引擎，还可以保证API梳理的准确性。

其次，透过外部威胁情报和黑灰产情报的补充，既可以有效帮助发现实时风险，也能确保识别的准确性。运用情报的能力，可以捕获到攻击的流量、攻击中使用的自动化工具、攻击中使用的资源，在经过永安在线情报分析系统分析后，就可以清晰地了解哪些API遭受了攻击。

总体来说，尽管API安全管理面临诸多的痛点、难点，但也并非缺乏对策。一方面要从自身内部的管理层面入手不断加强，建立和完善相关制度建设，并培养相关人员的安全意识和素养，尽可能地避免甚至杜绝人为制造API安全问题的可能性。另一方面，还需要借助专业力量的支持，专业的API安全管理产品、解决方案，以快速建立起真正有效的API安全防线。