永安在线：2022API安全建设白皮书（22页）.pdf

1、版权所有：深圳永安在线科技有限公司1API 安全建设白皮书APIAPI 安全建设白皮书安全建设白皮书版权所有：深圳永安在线科技有限公司2API 安全建设白皮书目录目录前言前言.31.1.APIAPI 是什么是什么.31.1.API 的定义.31.2.API 的类型.41.3.小结.52.2.APIAPI 的安全挑战的安全挑战.52.1.API 防护缺失已成业务和数据安全最大风险敞口.62.2.API 面临的主要安全问题.62.2.1.API 资产不可见.62.2.2.攻击面增加.72.2.3.API 攻击更加隐蔽.82.2.4.监管合规性挑战.92.3.小结.103.3.APIAPI 全生命周

2、期安全防护全生命周期安全防护.103.1.API 安全设计的指导原则.113.1.1.5A 原则.113.1.2.纵深防御原则.123.2.API 生命周期的安全防护模型.133.2.1.设计阶段：引入威胁建模.143.2.2.开发阶段：安全开发意识和规范培训，引入安全工具.153.2.3.测试阶段：漏洞加入测试流程，使用 AST 类工具提高覆盖率.163.2.4.上线运行阶段：借助网关、WAF 和流量审计工具提早感知攻击面.173.2.5.迭代阶段：利用安全工具及时审计 API 变更.213.2.6.下线阶段：及时下线僵尸影子 API.213.3.小结.22结束语结束语.22版权所有：深圳永

3、安在线科技有限公司3API 安全建设白皮书前言前言数字经济时代，数据成了重要生产要素，对数据要素的掌控和利用能力，已成为经济增长的核心驱动力。数据因其变现价值极高使其成为企业的重要资产，与此同时围绕数据的攻防也变得越来越剧烈，数据的安全是网络安全不可或缺的重要组成部分。在云计算、大数据、物联网、人工智能、5G 等新兴技术的推动下，伴随着近些年的疫情因素，大部分企业都在积极推进数字化和在线化转型。数字化和在线化使得连接数据和应用的API 爆炸式增长。企业通过 API 的能力将数据资源整合，提供给到用户、合作伙伴、内部员工等多方使用，让数据在多方流动起来，并借助云智物大移的技术提高企业的生产效率。

4、API 在数字化转型中扮演的角色将愈发重要，通过 API 来进行数据交换和实现业务逻辑成为最常见的方式，每个 API 都有可能成为一个攻击面，API 增多，漏洞也会增多，API 也因此成为攻击者的重点攻击对象。2022 年国家级攻防演练新增了对于数据泄漏的攻防点，说明数据的安全保护逐步从监管法规落实到具体的攻防实战中来。虽然入侵拖库带来的数据泄漏随着网络边界安全水位增高，难度已经非常大了，但近些年因 API 安全问题导致的数据泄漏事件却频频发生，可以看到 API安全是一个常见但似乎又不为人熟知的挑战。OWASP 每年整理 API Security Top 10 问题都会有新的变化，值得每个企业

5、关注并更新应对策略。从传统的 WAF 到 Gartner 提出的 WAAP 方案，API 的安全问题成为行业关注的新焦点。1.1.APIAPI 是什么是什么1.1.1.1.APIAPI 的定义的定义API（Application Programming Interface，应用程序接口）是一种计算接口，定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展，API 从早期的软件内部调用的接口，扩展到互联网上对外提供服务的接口。调用者通过调用 API，可以获取接口提供的各项服务，而无须访问源码，也无须理解内部工作机制的细节。版权所有：深圳永安在线科技有限公司4API 安全建设白皮书目前我

6、们讨论的 API 更多是指 Web API，不同于由操作系统或库公开给在同一台机器上运行的应用程序的 API。Web API 是一种编程接口，由一个或多个公开暴露的端点组成，指向已定义的请求-响应消息系统，通常以 JSON 或 XML 表示。1.2.1.2.APIAPI 的类型的类型Web API 被定义为基于 HTTP，今天看到的四种主要类型的 Web API：RESTfulRESTful APIAPI：可以追溯到 Roy Fielding 在 2000 年的博士论文，代表性状态传输是最常见的 Web API 类型，通常使用 JSON（JavaScript 对象表示法）来处理数据。RESTf