API使應(yīng)用程序的特性更加豐富和動(dòng)態(tài)，但它們也增加了攻擊面。

API或應(yīng)用程序編程接口是多個(gè)計(jì)算機(jī)程序相互通信的一種方式。例如，網(wǎng)站可以使用API從數(shù)據(jù)庫(kù)請(qǐng)求信息或?qū)⑿畔�傳遞給第三方服務(wù)。移動(dòng)應(yīng)用程序經(jīng)常使用API將數(shù)據(jù)來回發(fā)送到中央服務(wù)器。傳統(tǒng)的網(wǎng)站正迅速被高度交互的基于API的網(wǎng)站所取代。API也是企業(yè)應(yīng)用程序的關(guān)鍵，它取代了原有的信息交換機(jī)制。  

根據(jù)Akamai公司今年早些時(shí)候發(fā)布的一份報(bào)告，API調(diào)用現(xiàn)在占所有Web流量的83%。這意味著提供了功能更強(qiáng)大、功能更豐富的應(yīng)用程序，但同時(shí)也意味著更大的安全風(fēng)險(xiǎn)。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查，到2021年，將有90%的啟用Web的應(yīng)用程序以暴露的API而非用戶界面的形式具有更大的攻擊面，而2019年為40%。到2022年，API濫用將成為最常見的攻擊。  

例如，麥當(dāng)勞公司的API公開了其移動(dòng)交付應(yīng)用程序用戶的個(gè)人數(shù)據(jù)。由于API導(dǎo)致數(shù)據(jù)泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美國(guó)國(guó)稅局也遭遇了API數(shù)據(jù)泄漏的事件。  

總部位于波士頓的安全機(jī)構(gòu)Cybereason公司的首席信息安全官Israel Barak表示，“在過去的五六年中，API成為越來越大的問題。業(yè)務(wù)、系統(tǒng)和應(yīng)用程序之間的互連性的增加加速了面向公眾的API的采用。然后便是微服務(wù)和容器等服務(wù)的使用。”   以一個(gè)用于預(yù)訂航班的網(wǎng)絡(luò)應(yīng)用為例。如果它是傳統(tǒng)的整體應(yīng)用程序，則用戶將選擇一個(gè)航班，獲取報(bào)價(jià)，付款并預(yù)定。他們將按順序完成所有這些步驟。Barak說，“交易過程確保第一步發(fā)生在第二步之前。”  

現(xiàn)在，網(wǎng)絡(luò)上的同一應(yīng)用程序可能是一組獨(dú)立功能，每個(gè)功能都調(diào)用一個(gè)單獨(dú)的API。一個(gè)乘客可能會(huì)向支付系統(tǒng)發(fā)送請(qǐng)求。另一個(gè)乘客可能會(huì)向航空公司發(fā)送預(yù)訂航班的請(qǐng)求。利用公開的API，黑客可以跳過付款步驟而直接進(jìn)入預(yù)訂步驟。此外，攻擊者也可能劫持確認(rèn)所有用戶信息，并獲取其他客戶的姓名、地址和付款明細(xì)的API。  

有時(shí)，即使是完全無害的API也會(huì)造成損害，Barak說。例如，在用戶選擇城市所在的國(guó)家/地區(qū)后，網(wǎng)絡(luò)表單通常會(huì)提供城市列表。如果城市列表是通過API提供的，則攻擊者可以發(fā)送大量假請(qǐng)求，足以關(guān)閉該特定服務(wù)-并使整個(gè)Web表單停止運(yùn)行。Barak說，“而且不能使用驗(yàn)證碼，因?yàn)榱硪贿厸]有人。”  

總部位于圣馬特奧的網(wǎng)絡(luò)安全機(jī)構(gòu)PerimeterX公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Ido Safruti表示，當(dāng)人們使用API來驗(yàn)證信用卡且訪問權(quán)限未得到適當(dāng)鎖定時(shí)，還會(huì)發(fā)生另一種常見的API濫用。他說：“我可以直接采用API并嘗試驗(yàn)證被盜的信用卡或者禮品卡，這更容易，因?yàn)椴恍枰�用戶的姓名或郵政編碼。”   他補(bǔ)充說，“這種第三方API的使用非常難以鎖定。作為數(shù)據(jù)中心運(yùn)營(yíng)商，如果其應(yīng)用程序在數(shù)據(jù)中心之外調(diào)用API，那么可能對(duì)此完全一無所知。”  

從后臺(tái)到前臺(tái)   在以往，企業(yè)的應(yīng)用程序在內(nèi)部網(wǎng)絡(luò)內(nèi)相互通信，可以安全地隱藏在防火墻后面。應(yīng)該說，這意味著訪問和身份驗(yàn)證問題對(duì)開發(fā)人員的壓力并不大。實(shí)施大量安全檢查會(huì)很麻煩，會(huì)減慢開發(fā)速度并干擾功能。如今，在混合數(shù)據(jù)中心和萬物實(shí)現(xiàn)云化的情況下，但API并沒有企業(yè)的防火墻防護(hù)，但是開發(fā)人員經(jīng)常忘記這一事實(shí)，并意外地將其公開。  

BTB Security公司顧問Humberto Gauna說，“保護(hù)API并不難。但這需要一定的資源，將會(huì)增加公司的成本。”他建議，在構(gòu)建新的API時(shí)，企業(yè)應(yīng)讓安全專業(yè)人員參與早期階段。  

通常情況下，數(shù)據(jù)中心安全管理人員對(duì)開發(fā)人員如何編寫其API并沒有什么要求。但它們可以確保內(nèi)部數(shù)據(jù)庫(kù)和服務(wù)器得到適當(dāng)?shù)谋Ｗo(hù)，并確保基于云計(jì)算的服務(wù)得到適當(dāng)?shù)呐渲�。他們還可以為內(nèi)部部署環(huán)境和云計(jì)算部署設(shè)置API網(wǎng)關(guān)。  

API網(wǎng)關(guān)的優(yōu)缺點(diǎn)   并非所有專家都認(rèn)為API網(wǎng)關(guān)是一個(gè)好主意。  

當(dāng)企業(yè)通過一個(gè)或多個(gè)API網(wǎng)關(guān)匯集所有API流量時(shí)，它們可以確�；�本的安全策略(如加密、身份驗(yàn)證和訪問控制)得到充分實(shí)施。網(wǎng)關(guān)還可以執(zhí)行其他操作，如負(fù)載均衡和DDoS保護(hù)。  

可以為內(nèi)部部署數(shù)據(jù)中心設(shè)置API網(wǎng)關(guān)，大多數(shù)主要的云計(jì)算提供商都將它們作為基礎(chǔ)設(shè)施上托管的系統(tǒng)的服務(wù)來提供。Cybereason公司的Barak說，該過程從創(chuàng)建數(shù)據(jù)中心公開的所有API的目錄開始。他說，“這是一個(gè)良好的安全平臺(tái)的核心組成部分，但很多人沒有采用它。使目錄保持最新是很困難的，特別是當(dāng)開發(fā)新的微服務(wù)并在幾天甚至幾小時(shí)內(nèi)推出時(shí)。”   接下來，企業(yè)必須使用自己的令牌(例如API密鑰或OpenID標(biāo)識(shí)符)來標(biāo)識(shí)每個(gè)API，并根據(jù)這些令牌控制對(duì)數(shù)據(jù)和服務(wù)的訪問。Barak說，“沒有授權(quán)令牌，企業(yè)的開發(fā)人員不能公開新的API，而是必須注冊(cè)該API。”  

最后，數(shù)據(jù)中心可以為API流量設(shè)置網(wǎng)關(guān)。他說，通過實(shí)施包括加密和簽名的安全通道，數(shù)據(jù)中心可以對(duì)API安全性產(chǎn)生巨大影響。   但是一些專家說，要讓企業(yè)的所有開發(fā)人員都參與進(jìn)來可能很困難。  

總部位于圣何塞的安全廠商Malwarebytes Labs的主管Adam Kujawa說，“這將是一個(gè)理想的選擇。但是數(shù)據(jù)中心運(yùn)營(yíng)商不能強(qiáng)迫他們的客戶這樣做。但是，它可以做的是向其客戶或企業(yè)用戶提供API網(wǎng)關(guān)作為服務(wù)。如果他們不使用該服務(wù)，需要確保將它們隔離開來，以免感染數(shù)據(jù)中心的其他部分。”   另一個(gè)挑戰(zhàn)是，API網(wǎng)關(guān)不能總是部署到所有平臺(tái)上，并且提供商之間存在差異，這給管理帶來了挑戰(zhàn)。  

此外，API網(wǎng)關(guān)可能是單點(diǎn)故障，并增加了復(fù)雜性和管理開銷�？偛课挥谂谅灏�爾托的應(yīng)用程序安全供應(yīng)商數(shù)據(jù)定理的首席運(yùn)營(yíng)官Doug Dooley說，“我們的客戶正在構(gòu)建微服務(wù)，其中一種應(yīng)用程序具有難以置信的規(guī)模，并已在全球數(shù)十個(gè)數(shù)據(jù)中心中部署，有不同離散形式的代碼，它們都通過API進(jìn)行通信，企業(yè)中有成千上萬個(gè)API。”  

他說，“在這種情況下，試圖通過API網(wǎng)關(guān)強(qiáng)制執(zhí)行所有操作都是沒有意義的。它不具有可擴(kuò)展性或成本效益，繞過這個(gè)瓶頸很簡(jiǎn)單。”  

FireMon公司技術(shù)聯(lián)盟副總裁Tim Woods提出了一種API安全的分布式方法。這種方法可能更加動(dòng)態(tài)和靈活。對(duì)于邊緣計(jì)算應(yīng)用程序來說，速度也更快。他說：“每當(dāng)企業(yè)必須到中央清算倉(cāng)庫(kù)或中央網(wǎng)關(guān)時(shí)，都必須擔(dān)心延遲。”  

Barracuda 網(wǎng)絡(luò)公司應(yīng)用程序安全產(chǎn)品管理副總裁Nitzan Miron表示，企業(yè)在尋找基礎(chǔ)設(shè)施中所有活動(dòng)的API時(shí)也遇到了問題。當(dāng)基礎(chǔ)設(shè)施包括公共云時(shí)尤其如此。他說，“傳統(tǒng)的網(wǎng)絡(luò)資源清冊(cè)(掃描IP范圍)在IP都由公共云提供商甚至多個(gè)提供商動(dòng)態(tài)分配的情況下是毫無價(jià)值的。”  

但是他補(bǔ)充說， API網(wǎng)關(guān)工具已經(jīng)日趨成熟，并且最近開始添加功能來正確審核和控制API訪問。他說：“隨著這些工具的成熟和易于使用，找到合適的工具并安裝在所有公司的API和應(yīng)用程序上而不會(huì)造成業(yè)務(wù)中斷的挑戰(zhàn)將會(huì)越來越小。”