永安在线 API安全建设白皮书

API 安全建设白皮书 API 安全建设白皮书版权所有：深圳永安在线科技有限公司 1 API 安全建设白皮书目录前言.................................................................................................................................................................................3 1. API 是什么............................................................................................................................................................... 3 1.1. API 的定义....................................................................................................................................................... 3 1.2. API 的类型................................................................................................................................................... 4 1.3. 小结...............................................................................................................................................................5 2. API 的安全挑战....................................................................................................................................................... 5 2.1. API 防护缺失已成业务和数据安全最大风险敞口.......................................................................................6 2.2. API 面临的主要安全问题............................................................................................................................... 6 2.2.1. API 资产不可见....................................................................................................................................... 6 2.2.2. 攻击面增加.............................................................................................................................................. 7 2.2.3. API 攻击更加隐蔽................................................................................................................................... 8 2.2.4. 监管合规性挑战...................................................................................................................................... 9 2.3. 小结................................................................................................................................................................ 10 3. API 全生命周期安全防护.....................................................................................................................................10 3.1. API 安全设计的指导原则............................................................................................................................. 11 3.1.1. 5A 原则................................................................................................................................................... 11 3.1.2. 纵深防御原则........................................................................................................................................ 12 3.2. API 生命周期的安全防护模型..................................................................................................................... 13 3.2.1. 设计阶段：引入威胁建模.................................................................................................................... 14 3.2.2. 开发阶段：安全开发意识和规范培训，引入安全工具....................................................................15 3.2.3. 测试阶段：漏洞加入测试流程，使用 AST 类工具提高覆盖率....................................................... 16 3.2.4. 上线运行阶段：借助网关、WAF 和流量审计工具提早感知攻击面................................................ 17 3.2.5. 迭代阶段：利用安全工具及时审计 API 变更....................................................................................21 3.2.6. 下线阶段：及时下线僵尸影子 API.....................................................................................................21 3.3. 小结................................................................................................................................................................ 22 结束语.......................................................................................................................................................................... 22 版权所有：深圳永安在线科技有限公司 2 API 安全建设白皮书前言数字经济时代，数据成了重要生产要素，对数据要素的掌控和利用能力，已成为经济增长的核心驱动力。数据因其变现价值极高使其成为企业的重要资产，与此同时围绕数据的攻防也变得越来越剧烈，数据的安全是网络安全不可或缺的重要组成部分。在云计算、大数据、物联网、人工智能、5G 等新兴技术的推动下，伴随着近些年的疫情因素，大部分企业都在积极推进数字化和在线化转型。数字化和在线化使得连接数据和应用的 API 爆炸式增长。企业通过 API 的能力将数据资源整合，提供给到用户、合作伙伴、内部员工等多方使用，让数据在多方流动起来，并借助云智物大移的技术提高企业的生产效率。API 在数字化转型中扮演的角色将愈发重要，通过 API 来进行数据交换和实现业务逻辑成为最常见的方式，每个 API 都有可能成为一个攻击面，API 增多，漏洞也会增多，API 也因此成为攻击者的重点攻击对象。 2022 年国家级攻防演练新增了对于数据泄漏的攻防点，说明数据的安全保护逐步从监管法规落实到具体的攻防实战中来。虽然入侵拖库带来的数据泄漏随着网络边界安全水位增高，难度已经非常大了，但近些年因 API 安全问题导致的数据泄漏事件却频频发生，可以看到 API 安全是一个常见但似乎又不为人熟知的挑战。OWASP 每年整理 API Secu