業務情報和 API 數據安全方案廠商永安在線于近日發布《API安全建設白皮書》（以下簡稱：白皮書），對 API 在現代 IT 業務系統中所起到的關鍵作用，以及普遍應用下的安全挑戰作出了詳細介紹，為應對 API 安全挑戰，白皮書提出了“API 全生命周期安全防護模型”，以供企業建設安全的 API 提供參考。

　　該白皮書指出，API 全生命周期安全防護包含 API 從設計到開發，再到測試、上線運行、迭代及下線共計六個階段，利用全生命周期理念來考慮 API 的安全性，通過安全左移方法和工具，綜合性的融合管理手段和技術手段進行 API 安全治理，可提高業務 API 的整體安全性。

　　永安在線COO邵付東談及了此次《API安全建設白皮書》發布初衷，以及企業 API 安全建設難點，正確的 API 建設路徑等諸多問題。

　　企業普遍缺乏API安全實踐

　　已成數據安全最大風險敞口

　　邵付東表示，鑒于 API 安全本身的重要性，以及近些年來因 API 保護不當所引起的諸多安全事件，這需要企業能夠系統地去解決 API 安全問題。永安在線則通過自身多年對 API 安全的理解和實踐經驗，梳理了通過 API 全生命周期安全防護的 API 安全建設之路，希望企業能夠從中有所借鑒，這也是發布《API安全建設白皮書》的初衷。

　　該白皮書指出，API 是數據交互最重要的傳輸方式之一，也因此成為攻擊者竊取數據的重點攻擊對象。白皮書引用相關數據表示，數據泄露事件中有三分之二是由不安全的 API 造成的。據預測，到 2022 年，API 濫用將成為導致企業 Web 應用程序數據泄露最常見的攻擊媒介，甚至在 2024 年 API 安全問題引起的數據泄露風險將翻倍。

　　所以白皮書在梳理 API 面臨的主要安全問題時，也首次提及了來自監管合規方面的挑戰。其認為大多數企業在數據的流動訪問方面的安全建設意識正逐步萌芽和發展，而 API 作為連接數據與應用的主要通道，正成為數據傳輸中最薄弱的環節之一。

　　邵付東告訴安全419，金融行業有明確的 API 安全建設標準（金融行業標準 JR/T 0185-2020《商業銀行應用程序接口安全管理規范》），但整體來看，各行業在 API 的安全防護上還是比較薄弱的。隨著數字化發展，API 數量劇增，現階段 API 架構的安全建設相對滯后，API 的增速與其安全發展的不平衡，使其成為企業數據安全最大的風險敞口。

　　業務優先和API安全意識薄弱

　　是API安全建設核心難點

　　在談及企業在進行 API 安全建設時存在的難點時，邵付東從多方面的經驗梳理總結了以下兩點見解：

　　第一，大部分企業客戶優先考慮的是業務快速迭代發展，安全隨著業務的發展才會慢慢被重視；第二，企業對 API 安全建設的重要性認識仍顯不足，這也直接造成了企業普遍存在諸多的 API 安全隱患。

　　白皮書曾對 API 的重要性做出如下總結：在當今應？程序驅動的世界中，創新的？個基本元素就是 API。從銀？、零售、運輸到物聯網、自動駕駛汽車和智慧城市，API 是現代移動端、SaaS 和 Web 應用程序的關鍵部分，企業在面向客戶、面向合作伙伴和機構內部的應用程序中隨處可見 API 的使用。從本質上講，API 暴露了應用程序的邏輯和敏感數據，如個人身份信息，正因如此，API 越來越多地成為攻擊者的完美目標。由此可見，沒有安全的 API，企業的快速創新也將無從談起。

　　從本質上講，API 暴露了應用程序的邏輯和敏感數據，如個人身份信息，正因如此，API 越來越多地成為攻擊者的完美目標。由此可見，沒有安全的 API，企業的快速創新也將無從談起。

　　API全生命周期安全核心

　　是實現 API 資產可視、攻擊可知

　　在談及企業有效的 API 安全建設路徑時，邵付東先是闡述了企業安全建設的本質問題，他指出，企業遵循業務優先是企業生存的前提，“如果業務都沒有了，那還談什么安全。”他認為企業的整體安全建設應遵循：第一、業務優先，第二、解決可見性，第三、做到整體可控。

　　最終落實到 API 安全建設路徑方面，邵付東認為首先在業務優先的基礎上，企業需要對上線的 API 進行整體地梳理，要務是實現對所有 API 資產的可視，再進行持續的 API 漏洞評估和及時感知 API 攻擊風險，實現 API 風險的可控。從業務安全角度來講，這也是企業能夠健康發展的前提。

　　邵付東解釋稱，做好以上提到的 API 上線后的安全建設，企業可以及時了解 API 資產變化情況，解決全量 API 安全可見性問題。之后，再通過安全左移，將視角轉到 API 上線前的設計、開發、測試等階段，過程中結合上線后的安全實踐總結，可更加有的放矢，避免盲目投入。

　　“通過對 API 上線過程問題和隱患的發現梳理，將其視為企業 API 全生命周期安全建設的核心和起步點，同時這部分工作還可以作為企業 API 安全左移過程中重要的參考依據，從目標感中獲取解決具體問題的方法來構建整體 API 安全，我認為，這將會令 API 全生命周期安全建設更加有的放矢。”

　　API 全生命周期安全防護

　　對于企業用戶的意義

　　“全生命周期”最近幾年經常出現在網絡安全領域，比如在數據安全領域，其全生命周期泛指數據的采集、傳輸、存儲、共享、使用、銷毀等階段，每一個階段均通過一定的安全措施做到安全可控。

　　邵付東稱，永安在線之所以在 API 安全領域提出全生命周期安全防護概念，更多的是想表達對 API 安全管理的一種愿景，即企業用戶也可以將 API 以資產的視角進行管理，其意義在于更便于企業用戶通過整體的方法進行思考，從而關注其整體的生產效率和安全問題。

　　據邵付東進一步介紹，其提出的 API 全生命周期安全防護模型一方面源于永安在線長期在業務安全上的實踐，同時也源于客戶一側對 API 安全的實際需求總結，即總體來自用戶側 API 安全真實需求且基于業務的方法梳理。

　　正如白皮書指出的那樣，針對 API 存在威脅防護，使用 WAF 類產品只能覆蓋其中的一小部分威脅，對業務而言，從單點考慮 API 功能安全設計到通過對 API 生命周期來考慮 API 的安全，圍繞設計、開發、測試、 上線運行、迭代到下線的每一個環節加強安全建設更加必要。

　　在采訪中，邵付東列舉了一些企業客戶進行 API 安全建設的具體實踐及過程中所面臨的困境，而白皮書在其第三章節的“API 全生命周期安全防護”具體內容則呼應了這部分內容，白皮書梳理的 API 全生命周期安全防護不同階段的具體能力建設，均具體到了方法論和具體的安全實踐工具。

更多信息可以來這里獲取==>>電子技術應用-AET<<