API作为连接系统与应用的桥梁，在助力实现高效业务流程的同时，也不可避免出现资产管理困难、敏感数据泄漏风险骤增等安全问题。前段时间，安全公司Fastly公布了一项重磅调查报告，报告中显示95%的企业在过去1年中遭遇过API安全问题。本文分享API安全策略的6项原则，为企业API安全管理提参考建议。
　　

　　原则1：了解API和端点

　　企业应当明确，如果API端点存在，它就可以被用作入侵途径。提供公共API还会让用户接收来自无数客户、合作伙伴和应用程序的查询。这也会使企业受到攻击。为了保护企业免受攻击，需要考虑一些风险控制措施。
　　原则2：在创新与安全之间找到平衡

　　根据您所在的行业，合规性标准会有所不同，有些要求相比其他行业而言，安全性需求更为严格。为每种类型的 API 设计 API 治理策略，以便设置适当的安全控制措施。此外，还要利用AI以应对新出现的威胁、异常行为以及试图利用或滥用API的恶意用户，从而减少安全团队的负担。

　　原则3：在整个开发周期内管控风险

　　API 安全测试并非一次性试验。在部署前、部署期间以及部署后进行测试都至关重要，这样才能在漏洞发生之前发现弱点和漏洞。F5公司的解决方案可自动为API创建并验证稳健的模式，通过可操作的洞察揭示API安全风险，利用AI/ML缓解复杂的API攻击等，赋予了客户随时随地保护任何应用和API的能力。
　　

　　原则4：从后端到终端客户的层层保护

　　从外部客户端到内部、后端基础设施，架构的每部分都必须有各自的保护措施。内部API的安全更直接，可以与应用团队协调安全措施。对于外部API，可以从实时威胁情报和访问控制机制（例如加固的会话令牌）、建立正常和异常的流量模式基线以及限制API使用方面三方面入手进行保护。

　　原则5：拥有适当的策略和工具

　　作为整体安全架构的一部分，用户需要制定一项策略，部署全面的工具生态系统。作为应用和API安全领域的全球领导者，F5于5年前开始构建一套改变游戏规则的功能，作为F5分布式云服务的形式推向市场。F5正在将高级API代码测试和遥测分析引入F5分布式云服务，打造业内首个功能全面，且适合于AI的API安全解决方案。
　

　　原则6：将安全性纳入开发和部署流水线

　　由于技术、层、设计和所用API的上下文多样性，API安全可能变得十分复杂。安全需要在应用本身的同一连续生命周期中运行，这意味着 要与CI/CD流水线、服务预配和事件监控生态系统紧密集成。此外，屡试不爽的安全实践仍然适用——默认拒绝架构、强加密和最低权限访问。