《F5：API安全最佳实践-API 防护的关键考虑因素白皮书（15页）.pdf》由会员分享，可在线阅读，更多相关《F5：API安全最佳实践-API 防护的关键考虑因素白皮书（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、API 安全最佳实践：API 防护的关键考虑因素成功的 API 安全需要关注多个方面。引言应用编程接口（API）旨在简化数字生态系统彼此之间的通信和交互方式。API 本质上能够降低多个不同系统连接的复杂性，帮助开发人员快速轻松地将第三方内容或服务集成到其应用中，自动执行日常任务，并提高在线购物、一站式行程规划及其他数字服务的便捷性。在这个日益互联的世界中，API 已经从帮助开发人员借助已有能力快速实现新功能的工具，演变成为了数字经济的重要组成部分。随着现代应用的不断演进，它们越来越依赖第三方 API 来架起应用现代化改造的桥梁。API 现已成为更完整、更便捷、更强大的数字体验的可靠基石。API

2、 作为应用开发的基础构建模块的广泛使用，催生出一系列基础架构和部署场景，也带来了高度分散的架构。然而，对 API 的日益依赖也显著扩大了入侵、滥用及欺诈的风险面，给现有的安全工具带来了不小的挑战。API 安全最佳实践：API 防护的关键考虑因素2在去中心化的分布式架构中保护 API 所面临的挑战因为 API 支持应用之间快速建立连接并可轻松集成新内容和服务，所以它们已经成为当今数字经济的基础。API 是向现有数字产品添加特性的最快速、最高效的方法之一。利用 API 可以实现轻松地将新的服务、数据和功能（如数字地图服务或在线零售购物车）添加到现有应用中。因此，API 对于实现传统应用的现代化和提

3、高 Web 服务开发的速度和效率而言不可或缺。随着快速、敏捷、无缝的数字体验成为当今企业的核心要素和竞争优势，API 提供了一种功能强大、用途广泛的方法帮助企业与客户、合作伙伴、供应商、员工及其他用户建立连接。API 还能够稳定、高效地为一系列开发平台或框架（其中移动应用、单页应用和微服务是主流）提供数据、内容及功能。API 能够提高整个生态系统的易用性、性能和可靠性，改善用户体验，并支持快速访问重要数据和信息，从而实现与客户和合作伙伴之间稳定、安全的协作与创新。想想看，一款旅行应用不仅可以支持机票预订，而且还提供租车服务、在线旅行指南、天气信息和实时航班状态。上述所有服务和内容资源均通过第三

4、方 API 提供。开发人员可利用这些 API 提高应用开发效率并加快上市速度，同时还可以通过提供的增值服务来打造差异化客户体验。随着将 API 用作互联解决方案，应用开始转向日益分散和去中心化模型。由于 API 通常设计为对外暴露，因此它们将成为企业需要保护的敏感数据的入口。现代 API 交付设计具有创新性和流动性，应用组件可能分散在多个环境中，因此很难一致地管理和保护所有元素。API 的组件可能位于多个云提供商中，并存在于混合数据中心、私有云及公有云环境组合中。此外，容器和无服务器系统会创建临时组件，这些也必须予以妥善保护。在这些日益去中心化的模型中，分布在异构基础架构中的 API 超出了集

5、中式安全控制的范围，增加了攻击者的攻击面和潜在的入口点。传统三层 Web 堆栈现代分布式应用图 1：架构去中心化带来的复杂性极大地扩大了威胁面。API 安全最佳实践：API 防护的关键考虑因素34API 对于实现传统应用的现代化和提高 Web 服务开发的速度和效率而言必不可少。API 安全最佳实践：API 防护的关键考虑因素4API 容易受到与 Web 应用相同的攻击API 安全事件是很多重大数据泄露事件的罪魁祸首，因为 API 很容易受到许多针对 Web 应用的攻击，包括漏洞利用和 Bot 滥用。这类攻击包括数据泄露，即黑客可以在未经授权的情况下侵入计算机网络并窃取机密信息。API 也容易受

6、到 Bot 攻击和恶意自动化攻击。Bot 在互联网中无处不在 事实上，根据 F5 Labs 的分析，针对用户身份验证的访问攻击（通常由 Bot 执行）是造成数据泄露的主要原因。1Bot 是通过执行自动化、重复性、预定义的任务来在互联网上模仿人类行为的软件程序。它们既可执行实用功能，例如自动化客户服务、模拟社交网络上的人际交流或索引搜索引擎；也可用于执行恶意任务，包括通过撞库攻击窃取财务数据和个人信息，以及因帐户接管（ATO）造成的其他形式的欺诈和滥用。Bot 还能够实施大规模分布式拒绝服务（DDoS）攻击，通过使用虚假网络流量使系统过载，导致合法的 Web 服务、网络或 API 不堪重负，致使