為何要采用應(yīng)用和API安全一體化戰(zhàn)略？

前言：了解應(yīng)用和API安全之間的主要區(qū)別，以及為何一體化戰(zhàn)略才是未來(lái)的趨勢(shì)。了解共同的風(fēng)險(xiǎn)、獨(dú)特的挑戰(zhàn)，以及如何結(jié)合解決方案來(lái)簡(jiǎn)化操作和提高響應(yīng)速度。

顯而易見的一點(diǎn)是，應(yīng)用和API安全變得愈發(fā)專業(yè)化。API不再僅僅是基于URI的應(yīng)用入口。API已經(jīng)發(fā)生演變，成為了一種有自身安全需求的獨(dú)立實(shí)體。

這些安全需求大多與API交互的性質(zhì)有關(guān)。換言之，API需要按事務(wù)進(jìn)行授權(quán)。這點(diǎn)與應(yīng)用明顯不同，應(yīng)用通常按會(huì)話進(jìn)行授權(quán)。

API的交互率也較高，并伴有一些其他特點(diǎn)，致使保護(hù)API這件事面臨著一些獨(dú)特挑戰(zhàn)。

應(yīng)用和API的比較，展現(xiàn)了因?yàn)槟男┎煌幎斐闪税踩枨蟛町悺?/p>

盡管如此，應(yīng)用和API也存在著共同的安全風(fēng)險(xiǎn)，在實(shí)施安全解決方案時(shí)也需要對(duì)這些風(fēng)險(xiǎn)加以考慮。例如，最近更新的《2023年十大API安全風(fēng)險(xiǎn)清單》就明確提及了一組與應(yīng)用共有的次要風(fēng)險(xiǎn)類別：

身份驗(yàn)證/授權(quán)控制薄弱

配置錯(cuò)誤

業(yè)務(wù)邏輯濫用（撞庫(kù)攻擊或帳戶接管）

服務(wù)端請(qǐng)求偽造（SSRF）

《2023年十大API安全風(fēng)險(xiǎn)清單》：https://owasp.org/www-project-api-security/

除了這些風(fēng)險(xiǎn)外，還有大量針對(duì)可用性的攻擊，也就是應(yīng)用和API都會(huì)遇到的DDoS攻擊，因?yàn)樗鼈兺ǔ６家蕾囉赥CP和HTTP，而這兩者都會(huì)受到各種旨在破壞訪問和可用性的攻擊。

為解決保護(hù)應(yīng)用、API和基礎(chǔ)設(shè)施（為兩者提供支持）安全挑戰(zhàn)的一種方法是部署多種解決方案：Bot和欺詐防御、DDoS防護(hù)、應(yīng)用安全和API安全。這種做法固然能解決安全挑戰(zhàn)，但也帶來(lái)了運(yùn)營(yíng)挑戰(zhàn)，使許多安全相關(guān)任務(wù)變得更加復(fù)雜，例如策略變更管理和應(yīng)對(duì)威脅（同時(shí)影響應(yīng)用和API）。復(fù)雜性不僅會(huì)阻礙安全性，同時(shí)也會(huì)制約速度。

根據(jù)《2023年應(yīng)用策略現(xiàn)狀報(bào)告》，及時(shí)應(yīng)對(duì)新出現(xiàn)的威脅是采用安全即服務(wù)的首要驅(qū)動(dòng)因素。每個(gè)解決方案都需要修復(fù)、更新或部署新策略來(lái)緩解新出現(xiàn)的威脅，這種做法不僅耗時(shí)，同時(shí)也增加了配置錯(cuò)誤或失誤的幾率。因此，緩解威脅的時(shí)間會(huì)隨著復(fù)雜性的增加而延長(zhǎng)，特別是當(dāng)企業(yè)在多個(gè)環(huán)境（混合IT）中運(yùn)行并利用每個(gè)環(huán)境的安全解決方案時(shí)。使用數(shù)學(xué)公式來(lái)計(jì)算時(shí)間是線性還是指數(shù)增長(zhǎng)其實(shí)毫無(wú)意義，原因在于時(shí)間的延長(zhǎng)對(duì)應(yīng)對(duì)迫在眉睫的威脅本身就是一種最大的阻礙。

因此，更妥善的一種方法是將解決方案結(jié)合起來(lái)，從而共享操作和安全管理，獲得專門應(yīng)對(duì)威脅的功能，同時(shí)允許采用特定的安全策略來(lái)處理應(yīng)用和API特有的協(xié)議和有效負(fù)載。

這就需要制定應(yīng)用和API安全一體化戰(zhàn)略，在共享通用功能的同時(shí)，可以提高應(yīng)用或API的粒度和專業(yè)性。究其根本，Bot對(duì)數(shù)據(jù)質(zhì)量、交付成本及對(duì)應(yīng)用和API風(fēng)險(xiǎn)狀況帶來(lái)的影響會(huì)成為一類問題。DDoS同樣如此。為解決同樣的問題而部署雙倍數(shù)量的服務(wù)，在所有衡量標(biāo)準(zhǔn)中都不能稱之為高效。

無(wú)論是從運(yùn)營(yíng)層面，還是從經(jīng)濟(jì)和架構(gòu)層面來(lái)看，采用應(yīng)用和API安全一體化戰(zhàn)略都不失為一項(xiàng)明智之舉。