API安全前景与趋势

在国家政策和技术革新的牵引下，API安全正进入一个前所未有的 阶段，从传统互联网到移动互联网，再到物联网，正在影响人们生活的方方面面。

1.国家政策对API安全的影响 自23015年政府工作报告中提出“制定‘互联网+’行动计划，推动移动 互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商 务、工业互联网和互联网金融健康发展，引导互联网企业拓展国际市 场”以来，中国传统行业的互联网化得到了快速的发展。众多传统企业 纷纷迭代升级，完成了线上线下的业务融合。如今在5G和新基建的背 景下，网络信息基础设施的持续升级改造，云计算、大数据、人工智能 等技术与业务的持续融合，互联网生态圈的持续创新，为分享经济注入 了新的动力。对于众多企业来说，API已经成为其面向内外部持续提高 能力输出、数据输出、生态维系的重要载体。API经济已是未来产业互 联网中一个重要的组成部分，通过API经济，促进各行各业的数据变更 和业务升级，这其中除了包含电商、医疗、保险、教育等关系国计民生 的行业外，也包含能源、金融、交通、通信等国家基础设施。保护国家 基础设施的网络空间安全是国家网络空间安全战略中的一部分，API置 身其中，必须坚决维护网络安全，以国家安全观为指导，积极防御、有 效应对各种API安全威胁和挑战，维护网络秩序，保护个人隐私，共建 健康、安全的API经济生态。

2.技术革新对API安全的影响 环境改变下的产业升级倒逼着业务升级，业务升级又带动技术应用 和技术趋势的变化。在API经济的大趋势下，互联网向传统行业渗透， 各行业间相互渗透，形成横纵交织的API网络。在互联网的终端上，由 原来的个人计算机、办公设备转向IoT设备、智能手机、平板计算机， 移动App、H5应用、小程序等，从机器到人，从人到机器，新技术形态 带来的流量逐步统治着互联网。在前端，App成了移动互联网时代的流 量入口；在后端，API为流量提供了核心载体。这些新技术快速革新发 展的同时，也带来了诸多急需解决的IT问题。比如面对数目如此庞大并 继续增长的API，如何进行生产和管理？为了满足业务需求，原有系统 架构如何适应？什么样的语言和开发工具可以适应快速的需求迭代？一 定规模下，不同架构的系统（微服务、Docker、Kubernetes等）与多平 台、多技术领域的API（智能手机、平板计算机、浏览器等）如何通信 与适配？这些问题如果得不到解决，对API应用的可用性、稳定性、安全性都是极大的挑战。 而API带来的新的、独特的安全挑战，远远超过传统的Web网页。 REST API、SOAP API、GraphQL API等API技术在通信中涉及的数据格 式像一个独立的应用层，必须深入其中才能识别威胁，消除风险。为了 有效地识别API资产，管理API生命周期，通过身份认证和访问控制， 对接现有IAM基础架构，无缝地解决API安全问题是API安全市场急需的 一项安全服务能力。

3.当前API安全产品现状

API安全产品面向的用户主要分为以下两类。

■ 技术型管理者：在有些公司，其内部已有大量技术人员并有能力 来管理、定义、开发、配置API，需要引进API安全管理理念、技术、 工具、平台来实施先进的API管理，其需要的API安全产品通常包含API 安全开发工具、API安全测试工具、API管理平台、API网关、API安全 防护等不同类型的产品。

■ 非技术型管理者：这些企业通常以业务为中心，采用API设计来 寻找商机，企业本身对API技术了解不多，需要借助外部资源帮助其构 建API经济，其API安全产品需求相对比较单一，更多的偏向于API管理 平台、API网关和API安全防护类产品。 无论是哪种类型的终端用户，都会有API管理平台、API网关和API 安全防护类产品的诉求，这也是当前API安全产品市场上API管理平台 或API网关占比最多的一个主要原因。目前市场上，API管理平台或API 网关产品主要可分为公有云产品、2B交付商业化产品、开源产品三 种。

其中公有云产品主要有以下几种。

■ Amazon API网关。

■ Google Apigee API网关。

■ Microsoft Azure API管理平台。

■ 阿里云API网关。

■ 腾讯云API网关。

2B交付商业化产品主要有以下几种。■ IBM API网关。

■ Kong API网关企业版。

■ Salesforce MuleSoft API网关。

■ NGINX Plus网关。

■ Red Hat 3scale API网关。

■ WSO2 API管理平台。

开源产品主要有以下几种。

■ Kong API网关。

■ Netflix Zuul网关。

■ Ambassador API网关。

从这些产品可以看出，目前市场上参与API安全市场竞争的既有 Google、Amazon、Microsoft、IBM这样的Top企业产品，也有Kong、 NGINX、WSO2这样小而美的解决方案。在这些产品中，公有云厂商建 设API网关产品以自用和服务云上用户为主，而23B销售的厂商才是影 响API网关或管理平台类产品市场资源投入的主力军。当客户在购买此 类产品时，可以从IAM、安全运营能力（流量监控、威胁防护、数据 安全等）、DevSecOps融合、购买费用与许可协议等方面对产品进行打 分，综合衡量API网关产品与当前业务需求的契合度，以最优的性价比 选择合适的产品。

除了API网关或管理平台产品外，还有一部分厂商在做着与API上 下游相关联的产品，比如主要做API测试类工具产品Postman和SoapUI， 做OpenAPI的规范的SmartBear公司。 API安全防护类产品，以新型的互联网安全企业和传统的安全厂商 产品转型进入API安全领域为主，比如Akamai在23018年开始在WAF防 护能力中谈论API的安全防护，并于2020年4月期间单独做了API安全专 题。WAF厂商Imperva的Imperva SecureSphere WAF产品中专属的JSON 结构和API组件，“可动态地了解应用程序的行为，立体式保护API安 全”。API安全市场似乎是尚未成型的蓝海，但各大厂商已悄然进入，通 过产品自建和并购，争着要分一杯羹。

API管理平台或API网关类产品仅仅是API安全产品的一个起点，是基于当前市场环境和API技术形态切入的API产品形态中的一种，并不 是唯一的安全解决方案，想通过单一的API网关或API管理平台类产品 解决API安全的所有问题是不切实际的。 当前，中国正在进入全面数字化时代，随着53G、新基建以及人工 智能使用场景的不断深入，全面智能化将成为趋势，工业互联网正在成 为传统行业企业结构升级的下一步跳板，物联网也将成为基础设施建 设，其中每一个领域的能力释放都离不开API的广泛使用，这都为API 从业者带来广阔的发展前景。