API安全技术应用指南（2024版）：解密API安全之道释放数据连接价值

版权声明版权声明 本报告为北京谷安天下科技有限公司（以下简称“本公司”）旗下媒体平台安全牛研究撰写，报告中所有文字、图片、表格均受有关商标和著作权的法律保护，部分文字和数据采集于公开信息，所有权为原著者所有。未经本公司书面许可，任何组织和个人不得以任何形式复制或传递本报告的全部或部分内容，不得将本报告内容作为诉讼、仲裁、传媒所引用之证明或依据，不得用于营利或用于未经允许的其他用途。任何未经授权使用本报告的相关商业行为都将违反《中华人民共和国著作权法》和其他法律法规以及有关国际公约的规定。未经授权或违法使用本报告内容者应承担其行为引起的一切后果 及法律责任，本公司将保留追究其法律责任的权利。 免责声明免责声明 本报告仅供本公司的客户使用。本公司不会因接收人收到本报告而视其为本公司的当然客户。 任何非本公司发布的有关本报告的摘要或节选都不代表本报告正式完整的观点，一切须以本公司发布的本报告完整版本为准。 本报告中的行业数据主要为分析师市场调研、行业访谈及其他研究方法估算得来，仅供参考。因调研方法及样本、调查资料收集范围等的限制，本报告中的数据仅服务于当前报告。本公司以勤勉的态度、专业的研究方法，使用合法合规的信息，独立、客观地出具本报告，但不保证数据的准确性和完整性，本公司不对本报告的数据和观点承担任何法律责任。同时，本公司不保证本报告中的观点或陈述不会发生任何变更。在不同时期，本公司可发出与本报告所载资料、意见及推测不一致的报告。 在任何情况下，本报告中的信息或所表述的意见并不构成对任何人的行为建议，也没有考虑到个别客户特殊的目的或需求。客户应考虑本报告中的任何意见是否符合其特定状况，若有必要应寻求专家意见。任何出现在本报告中的包括但不限于评论、预测、图表、指标、指标、理论、陈述均为市场和客户提供基本参考，您须对您自主决定的行为负责。本公司不对因本报告资料全部或部分内容产生的，或因依赖本报告而引致的任何损失承担任何责任，不对任何因本报告提供的资料不充分、不完整或未能提供特定资料产生的任何损失承担任何责任。 目 录 第一章 API 安全概述...........................................7 1.1 API 的发展背景............................................................................71.2 API 面临的安全挑战.....................................................................81.3 API 的安全理念............................................................................101.4 国内外相关政策及标准..................................................................11 第二章 API 安全技术...........................................16 2.1 API 安全框架................................................................................162.2 核心能力简介................................................................................18 第三章 应用现状及场景化分析...............................23 3.1 API 安全需求及应用现状调研........................................................233.2 API 安全的典型应用场景分析........................................................32 第四章 API 安全建设指南.....................................37 4.1 建设挑战.......................................................................................374.2 基本建设原则................................................................................384.3 方案选择建议................................................................................404.4 年度代表性供应商介绍..................................................................42 第五章 案例研究.................................................63 5.1 车联网公有云环境的 API 风险监测能力建设案例...........................635.2 API 安全管控系统助力电信行业网络防护的案例............................67 5.3 金融行业云原生 API 安全体系建设案例.........................................705.4 API 安全监测系统助力医疗企业数据安全防护的案例.....................735.5 移动应用环境的 API 安全能力建设案例.........................................77 第六章 新兴技术对 API 安全的影响........................81 6.1 零信任技术...................................................................................816.2 人工智能（AI）和机器学习（ML）...............................................826.3 大数据技术...................................................................................826.4 云计算和容器化技术.....................................................................82 参考资料...........................................................84 引言引言 API 是软件集成、系统集成、远程服务访问的基础。随着模块化、面向对象及微服务开发的进一步应用，API 从系统内部连接逐渐扩展到系统外部，并在整个互联网范围内连接起相互独立的各个业务节点，人与服务、服务与服务、系统与服务之间的信息交换都在 API 的基础上进行着。随着 SaaS 化和云服务的兴起，基于 API 的软件集成已成为构建现代应用程序的关键方法。开发者基于 API 构建应用、开放能力、共享服务，形成了以 API 提供者、消费者为主的 API 生态经济。 然而，API 自身的安全性，如不安全的协议框架、开发缺陷和漏洞，不仅给应用程序和 Web 应用带来严重的安全隐患，还因为大量 API 的外部暴露，极大地增加了业务系统和数据的攻击面，为不法分子提供了可乘之机。在日趋严峻的网络安全形势下，赏金猎人和针对 API 的自动化攻击工具使 API 自身的缺陷更容易被发现和利用。这些漏洞可能导致非法访问、数据泄露、SQL 注入和跨站脚本攻击等一系列安全风险，给企业造成系统破坏、业务中断和经济损失。 API 作为应用软件的重要组成部分，也是软件安全、业务安全和数据安全的底层基石，是国家网络安全和数字经济发展的重要前提。为保障国家数字经济的长效建设，行业监管部门在贯彻网络安全的基础上进一步着手 API 安全治理，陆续出台应用程序接口安全相关的细则，包括《应用程序接口规范》《云应用安全技术标准》《数据安全技术数据接口安全风险监测方法》等等。这些规范分别从评估、审计、漏洞检查、隐私敏感权限等维度提出了具体要求。 为在网络安全建设中帮助用户更好地开展安全规划、API 安全建设，并给用户提供有效的 API 安全框架、产品方案、厂商支持，安全牛即日起正式启动《API 安全技术应用指南（2024 版）》报告（以下简称“报告”）研究工作。报告基于调研对 API 的安全风险进行识别，从 API 安全测试、风险可见性、API 风险防护等多方面对 API 的安全能力建设提出建议；同时，基于调研也对厂商的 API 安全产品或解决方案进行能力评估，并对该领域的年度代表性厂商进行能力评估、方案推荐和落地应用案例展示。为用户选择合适的产品和厂商提供有效参考。 报告关键发现报告关键发现 ■调研显示， 当前企业对 API 漏洞利用、数据安全问题最为敏感。但，大多数用户认为 API 风险对企业的影响程度为中低水平，API 风险影响还相对有限。反映企业对 API 风险有一定认识，但重视程度还不高。 ■调研显示，企业通常会遭受多种类型的 API 攻击事件，而 API 的敏感数据、身份验证是最容易遭受攻击的两个薄弱环节。 ■调研发现，几乎所有类型 API 安全产品都在 API 资产识别功能中提供了数据资产识别及数据分类标识功能。这预示着，API 安全将有可能会成为数据流转合规的一项标准化管理手段。 ■调研显示，在 API 安全建设中检测、监测和防护类产品均有涉及，并且半数以上企业采用了两种以上类型的工具。其中，API 网关和 API 安全监测平台被认为是最有效果的两个产品类型。 ■API 安全建设方面，调研显示，大多数企业的 API 安全建设并未提到日程上，观望者较多，整体预算分布也偏于保守。 ■API 作为一个新兴赛道，厂商的参与度较高，这些能力提供者来源于多个传统领域。其中，应用安全和业务安全厂商占比最高（占比 35%）；数据安全和网络安全厂商次之（占比各 18%）；同时，专注于该赛道的新兴厂商也较多（占比约 30%）。从提供的 API 安全方案类型看，主要有访问控制网关类、风险监测防护类和数据流转管控类三种典型类型。其中，提供风险监测类方案的厂商最多。 ■目前阶段，尽管市场上 API 安全方案不断地推陈出新，但 API 安全的应用模式仍处于探索阶段。建设中，识别、检测、防护等核心能力存在不同程度的技术挑战，风险处置的自动化能力也尚显不足。 ■从 API 安全技术成熟度演进的视角来看，安全牛认为零信任、人工智能、大数据，以及云计算四类新兴技术将能有效赋能 API 安全，在提升 API 风险检测精准度、覆盖度和自动化防护处置能力方面提供显著助力。 第一章 API 安全概述 1.1 API 的发展背景 API（Application Programming Interface，应用程序编程接口）是一组代码逻辑的抽象，它通过某一种特定的函数关系对功能源码进行封装，使其成为可被外部系统集成和重复调用的组件。API 可以实现代码共享、提高系统兼容性和应用软件开发效率，具有很强的连接力，是代码开发过程中不同功能模块之间信息交换的重要纽带。 模块化、面向对象和微服务等现代软件开发模式的广泛应用，将人与服务、设备与服务、服务与服务之间的信息交互都加载到了 API 接口上。API 成