什么是 API 安全？

强大的 API 安全状况有助于确保只有经过授权的用户和应用程序才能访问 API。它作为 Web 安全的一部分，但特别关注 API，这对于企业 IT 管理越来越重要。¹

API 可连接数字世界中的应用程序、服务、系统和数据库。它们让公司能够集成本地部署和云数据库，连接旧版核心系统与现代平台，并连接不同环境中的部署。它们还能帮助组织为外部开发人员和合作伙伴提供服务，并塑造高度互联化的用户体验。

例如，开发人员可以将新的应用程序和服务与客户关系管理 (CRM) 平台、企业资源规划 (ERP) 和其他系统连接在一起。这些系统通常部署在不同的环境中，并且依赖 API 进行数据同步。

低代码和无代码工具的激增，也使得经验丰富的开发团队和非 IT 人员能够更轻松地构建应用程序、访问 API 和执行 API 管理任务。但是随着 API 的激增，相关的安全问题也随之增加。去年，几乎所有组织 (99%) 都经历过与 API 相关的安全问题，其中超过三分之一 (34%) 的安全事件暴露了敏感或私有数据。²

内部和外部 API 以及 API 端点都可能受到攻击，但外部 API 的公共性质使它们更容易受到恶意行为者和各种类型的 API 攻击。警惕的 API 安全实践帮助企业保护暴露的端点并保护企业数据和网络。

API 无处不在。2023 年，平均每家企业规模的公司大约有 15 亿次应用程序接口调用，这一年，应用程序接口调用占互联网总流量的 71%。³而且，几乎每个应用程序都至少使用一个 API。因此，API 是现代计算机网络、云计算和 SaaS 部署的基本要素。

然而，它们相互关联的特性带来了传统安全措施无法应对的独特安全挑战。API 通常用于云、本地和混合设置，每个环境都有自己独特的安全需求。在一个环境中起作用的安全控制可能无法转换到另一个环境中，这使得统一实施成为一个持续的挑战。

API 还充当微服务之间的连接组织，每个微服务都有自己的安全配置文件。一个 API 中的单一漏洞就可能致使整个系统面临风险。例如，在能源领域，API 安全措施可保护仪表、监控系统和维护平台之间的数据交换，有助于确保预防性维护计划的完整性。

此外，大多数应用程序使用大量 API 端点，每个端点都为攻击者提供了一个可能的切入点。处理敏感信息（例如医疗或财务数据）的端点是尤其有利可图的攻击载体。API 端点大大扩展了攻击面，如果没有仔细监控，私人数据可能会容易受到恶意行为者的攻击。

而且，由于 API 支持敏捷开发和 CI/CD 管道，它们通常可以快速构建和部署。如果没有将安全功能无缝集成到 DevOps 工作流程 中，则安全评估和测试可能会落后于开发进度。全面的 API 安全协议可以最大限度地减少和缓解这些问题。

安全 API 可防止传输和处理过程中的数据操纵，且有助于确保只有经过身份验证的授权用户才能访问关键功能和数据。在当今复杂的计算环境中，API 安全已成为构建可信数据交互、高可用服务及数字生态系统高客户信任度不可或缺的工具。

不安全的 API 端点可使恶意行为者未经授权访问敏感数据并中断服务操作，从而可能造成灾难性后果。常见的威胁包括：

• 基于身份验证的攻击 — 黑客试图猜测或窃取用户密码，或利用薄弱的身份验证机制来访问 API 服务器。如今，大多数 (95%) 网络攻击来自经过身份验证的用户。²

• 中间人攻击 — 不良行为者通过拦截 API 请求或响应来窃取或修改数据（例如，登录凭据或支付信息）。

• 代码注入和注入攻击 — 黑客通过 API 请求传输有害脚本（插入虚假信息、删除或泄露数据或破坏应用程序功能）。这些脚本暴露了读取和转换数据的 API 解释器的弱点。

• 安全配置错误 — 默认配置不足、过于宽松的跨源资源共享 (CORS) 或不正确的 HTTP 标头会暴露敏感的用户信息或系统详细信息。

• 拒绝服务 (DoS) 攻击 - 这些攻击会发送大量 API 请求以导致服务器崩溃或减慢速度。在所谓的分布式拒绝服务 (DDoS) 攻击中，DoS 攻击往往来自多个攻击者同时攻击。

• 破坏对象级授权 (BOLA) 攻击 - 当网络罪犯操纵 API 端点处的对象标识符以扩大攻击面并获得对用户数据的未经授权的访问时，就会发生攻击。BOLA 攻击尤其常见，因为实施适当的对象级授权检查可能既困难又耗时。

API 安全测试验证必要的安全措施（例如用户访问控制、加密和身份验证机制）是否到位，以防止攻击者利用 API。安全测试通常包括积极尝试利用正在运行的应用程序中的漏洞或扫描源代码以识别已知的安全漏洞。安全团队向 API 端点发送各种请求，并检查响应中是否存在漏洞、意外行为和代码错误。

根据所测试的漏洞类型，团队可以选择进行手动测试、依赖自动化测试工具或结合运用这两者。

例如，工程师可以使用手动渗透测试（或渗透测试）来模拟真实世界的攻击并识别安全问题。如果安全弱点仅在应⽤程序运⾏时出现，则可能会运行动态应用程序安全测试 (DAST) 工具，该工具可以在实时系统上执行安全测试。如果他们想扫描源代码中是否存在缺陷或弱点，可以使用静态应用程序安全测试 (SAST) 工具。

传统上，安全测试过程依赖于企业安全团队执行的渗透测试或手动扫描。如今，组织通常将自动化 API 安全测试直接集成到 DevOps 管道中。无论采用何种方法，警惕的 API 安全测试都使开发人员能够主动识别安全风险，并在风险暴露企业数据或影响客户之前予以解决。

API 安全和应用程序安全都旨在保护数据，但它们处理数据安全的方式不同。

API 安全是应用程序安全的一部分，它优先考虑保护各个端点，并使用精细的权限管理访问，以便每次数据交换都受到保护。应用程序安全采用更全面的方法，保护整个应用程序堆栈（从用户界面到数据存储和后端系统），以帮助保护整个环境。

API 安全专为灵活性和速度而构建。它使用实时监控和异常检测来快速识别和响应每次 API 调用的威胁。相比之下，应用程序安全使用更具结构性的策略。它采用静态代码分析和安全编码实践等技术来解决整个应用程序中的漏洞。

对于身份验证，API 通常使用 OAuth 和 JSON Web 令牌 (JWT) 等基于令牌的机制，它们提供精确的短期资源访问权限。与此同时，应用程序安全实施更广泛的控制，例如基于角色的访问控制 (RBAC)，以管理系统多个层的用户权限。

应用程序安全可针对广泛的威胁提供保护，而 API 安全可针对针对已暴露端点的威胁提供细粒度的保护。因此，团队需要这两种工具来实现全面的数据安全。将 API 安全措施集成到更大的应用程序安全框架中可以帮助企业创建更安全、更有弹性的软件环境，并保持与用户和合作伙伴的信任。

在充满活力的数字经济中，API 对业务敏捷性至关重要，但其开放性会带来巨大的数据安全风险。API 安全漏洞已导致大量数据泄露，即使对于 John Deere、Experian 和 Peloton 等信誉良好的大型公司也是如此。⁴

在这样一个全球技术环境中，安全漏洞威胁着所有主要服务提供商，无论其属于哪个行业，也不论其处于哪个地理位置。例如，2022 年针对澳大利亚电信公司 Optus 发起的 API 攻击导致近 1,000 万客户的姓名、电话号码、护照详细信息和驾驶证信息泄露。⁵ 这些事件凸显了保护 API 的重要性。

API 滥用现象的增加也加速了全面 API 安全战略和工具的开发。实施严格的 API 安全协议可以保护 API 端点公开的数据、应用程序和服务，同时保障合法用户的可用性。

不过，API 安全不仅仅是保护端点。它还优先考虑整个 API 生命周期中网络交互的安全，例如数据传输、用户请求和应用程序间通信。用于保护 IT 基础设施的一些最常见的 API 安全解决方案包括：

身份验证是验证用户、系统或程序身份的过程。在 API 上下文中，它指的是用户身份验证令牌和协议，例如 OAuth 2.0、API 密钥和 JSON Web Token（JWT 规范），以确保请求者是其声称的身份。

授权是验证经过身份验证的用户有权访问哪些内容的过程。用户通过身份验证之后，基于角色的访问控制可以严格限制用户访问他们需要或请求的资源。

通过加密，纯文本和其他类型的数据从可读形式转换为编码版本，只有拥有解密密钥的用户才能解码。加密技术（例如传输层安全 (TLS)、SSL 连接和 TLS 加密协议）帮助安全团队确保不良行为者和未经授权的用户无法拦截或更改 API 流量。

输入验证协议通过确保输入在处理前符合长度、类型、格式和范围标准，保护 API 免受恶意数据（如 SQL 注入攻击和跨站脚本）的攻击。利用网络应用防火墙 (WAF) 或 XML 和 JSON 模式验证可帮助安全团队自动执行验证流程，抢先分析传入请求，并在恶意流量到达服务器之前将其拦截。

速率限制通过限制用户或 IP 地址在特定时间范围内可以进行的调用次数来保护 API 资源免受暴力破解和 DoS 攻击。速率限制可确保所有 API 请求得到及时处理，并且任何用户都无法向系统发送有害请求。

与速率限制一样，限流也会限制系统接收的 API 调用数量。但是，限流不是在用户客户端级别进行操作，而是在服务器网络级别进行。节流限制和配额通过限制 API 每秒可以接收的调用和消息数量来帮助保护 API 后端带宽。

安全标头能够有效防范点击劫持攻击，即不法分子将恶意超链接伪装在可操作的内容下，诱骗用户与其无意访问的网站进行交互的攻击活动。

例如，“content-security-policy”标头告诉浏览器可以从服务器请求哪些资源。“x-content-type-option”标头阻止浏览器尝试 MIME 嗅探内容类型，“strict-transport-security”标头强制与服务器建立安全（基于 HTTP 的 HTTPS）连接。

API Gateway 为 API 访问提供集中式接口，作为系统接收的所有 API 请求的单一入口点。它们帮助组织管理 API 访问并添加额外的网络安全层，尤其是对开放 API。API Gateway 可以标准化 API 交互并提供缓存、分析、API 组合、速率限制、加密、记录和访问控制等功能。

但是，API Gateway 还存在单点故障，并给架构带来了额外的复杂性。

维护全面、最新的审计日志并经常进行，让组织能够跟踪数据访问和使用情况，并记录每个 API 请求。鉴于 API 生态系统的复杂性，掌握 API 活动可能需要耗费大量劳动力。但是，审计和⽇志记录程序可以在团队需要在数据泄露或合规失误后追溯步骤时节省时间。

API 环境中的主动错误处理可以防止网络罪犯泄露有关 API 流程的敏感信息。理想情况下，任何 API 错误都会返回 HTTP 状态代码，广泛指示错误的性质，为团队提供足够的上下文来解决问题，而不会冒过多数据暴露的风险。

与任何软件应用程序或系统一样，警惕的实时监控和维护对于维护 API 安全至关重要。务必密切关注任何异常的网络活动，并使用最新的安全补丁、错误修复和新功能更新 API。

组织还应该及时采用安全标准，例如开放 Web 应用程序安全项目 (OWASP) 的 API 安全建议。例如，OWASP API 安全 10 强榜单提供了一个框架，用于了解和缓解最关键、最常见的 API 安全威胁（如身份验证失效、批量分配和服务器端请求伪造）。

API 软件的每个新版本都附带安全更新和错误修复，以填补早期版本中的安全漏洞。但如果没有适当的版本控制实践，用户可能会意外（或故意）部署过时的 API 版本，并使敏感数据受到损害。

细心的版本控制和文档实践可支持公司加速 API 开发。它有助于公司在不中断服务的情况下逐步淘汰旧的 API 版本，将用户推向更新、更安全的迭代版本。

例如，如果团队在 API 版本 1 中发现安全缺陷，他们可以在版本 2 中修复它。通过版本控制，安全团队可以鼓励用户按照自己的节奏从版本 1 迁移到版本 2，同时在版本文档中明确指出版本 1 存在已知的安全漏洞。

安全测试要求开发人员使用 API 客户端提交标准请求，以评估系统响应的质量和正确性。定期进行安全测试来识别安全漏洞，可以帮助团队在攻击者有机会利用 API 漏洞之前修复它们。

零信任安全实践遵循的原则是，任何网络流量（无论来自组织内部还是外部）都不应自动被信任。默认情况下，用户和设备都被视为不可信。因此，在任何流量进入或通过网络之前，必须对用户凭据进行彻底的身份验证。

采⽤零信任⽅法，企业可以保护其数据和 API，以便只有授权个体才能访问，即使攻击者试图在先前批准的设备上冒充合法⽤户。

保护 API 对于 IT 基础设施的健康状况和数据安全至关重要。未来几年，API 安全仍将是一个重点关注领域，尤其是在 API 的使用和分发对现有 API 管理解决方案构成挑战的情况下。

例如，开源和无代码 API 的激增增加了在官方监督之外运行的影子 API 所带来的安全风险。为了解决这个问题，安全团队正在采用更全面的 API 库存、文档、监管和多重身份验证措施，以保护数据免受新出现的 API 威胁的侵害。

注重安全的企业还在投资：

强化 API 网关已成为软件开发人员的首要任务。⁶与 API 端点（API 内的特定交互点）不同，API 网关是所有 API 请求的集中式访问点。它们可为各种 API 协议、语言和样式（包括 GraphQL、REST API 和 SOAP API）提供协议转换服务，并将调用路由到后端服务。

现代 API 网关具备动态速率限制和威胁检测功能，为当今的云原生应用程序部署和微服务驱动式 IT 环境创建额外的 API 安全层。

旨在跟上数字创新步伐的企业还需要采用融合人工智能 (AI) 和机器学习 (ML) 等技术的 API 安全方法。AI 和 ML 驱动的安全功能已经可以通过检测 API 调用中的异常数据模式来主动识别威胁。此类工具还可以随着威胁的演变调整威胁检测和响应协议。

举个例子，AI 增强型安全防护措施可以实现自适应身份验证，其中安全工具可根据上下文和行为生物特征自动调整数据审查力度。

越来越多的企业采用零信任架构，这种架构优先考虑对尝试与 API 交互的任何设备或用户实施稳健的授权和身份验证实践。零信任 API 安全原则对于保护易受攻击且面向公众的 API 和端点特别有用。⁷

Agentic AI 将 AI 的功能提升到了新的水平。它使用大型语言模型 (LLM)、自然语言处理 (NLP) 和 ML 代表人类用户和其他系统执行自主任务。但是，AI 智能体依赖 API 来访问数据，因此 API 安全和 Agentic AI 安全密不可分。

随着开发人员继续采用 Agentic AI 创新，他们将不得不应对 AI 智能体带来的安全风险。作为回应，许多企业正在为 AI 智能体提供高级监控、分析和拦截功能，以保护智能体以及与之交互的 API 免受网络攻击。

与供应商和 API 安全专家建立战略伙伴关系对于未来实现全面的 API 保护也至关重要。战略合作可以帮助企业覆盖 API 安全流程的每个阶段，从 API 发现和威胁检测到运行时分析和事件响应。

数据共享伙伴关系优先考虑平台之间的安全数据交换（例如共享漏洞详细信息和威胁情报）。这种交换有助于整合信息，以便企业能够清晰、统一地了解其 API 安全状况。联盟伙伴关系使各个安全实体能够融合独特优势和互补技术，从而简化安全管理并鼓励协作发展。这些战略伙伴关系可以帮助企业从共享的安全专业知识中受益，并为用户提供更具弹性的数字服务。

随着 API 持续解锁新的网络机遇，与之相关的风险也将不断变化（甚至可能加速演进）。采取积极主动的企业 API 安全措施可以帮助企业保护敏感数据并制定敏捷的安全策略以应对威胁态势的变化，从而强化安全防护。