如今，数据已成为新兴的生产要素，是国家基础性和战略性资源，随之而产生的数据安全需求也愈发凸显。自2021年初，国家网信办、工信部、公安部等多部门对数据安全、网络信息安全等涉及到国家安全的领域密集出台相关监管措施，从上至下编织起“数据安全”和“网络安全”两张大网。

随着《网络安全审查办法》、《中华人民共和国数据安全法》颁布实施，国家和企业对于数据保护和安全建设的诉求已经提升到一个全新层次。而作为连接数据和应用之间的重要通道，API正在成为攻击者眼中撬开数据“蜜罐”的开瓶器。

API成数据安全最大风险敞口

在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了API经济。可以说，API就是传统行业价值链全面数字化的关键技术，其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙伴，甚至整个商业生态。但是，API目前所面临的严峻安全挑战，却很容易被管理者所忽视，也并无过往的应对经验。

从只用于企业内部服务调用的API 1.0时代，到面向服务架构的API 2.0时代，再到如今成为开放平台和云原生微服务的API 3.0时代，API已经逐步从限制性的局部接口，转向更大和更广的开放。这为开发者带来了诸多好处，比如可公开获取、标准化、高效且易于使用等，但同时其自身的风险敞口进一步扩大。Gartner在其《如何建立有效的API安全策略》报告中预测，“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。”

近年来，越来越多的攻击者正利用API来实施自动化的“高效攻击”，由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件，严重损害了相关企业和用户权益，逐渐受到各方的关注。比如：2021年4月，Facebook平台上的5亿用户数据泄漏，涉及信息包括用户昵称、邮箱、电话、家庭住址等信息，事后判定为业务接口泄漏。时隔2个月，另一著名社交平台LinkedIn领英，有超过7亿用户数据在暗网出售，涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。

据悉，部分数据也是通过API泄露获取。2020年，微博的3.5亿数据泄露，就是来自于终端APP的业务逻辑API被非法流量调用超过40亿次而导致。2020年，印尼最大的电商网站Tokopedia 9100万用户信息泄漏，里面涉及到用户曾经浏览到商品信息和订单信息，也为业务接口泄漏。由于API既能够起到连接服务的功能，又可以用来传输数据，因此，API的安全防护非常重要也非常敏感。

整体来看，API所面临的风险包括：凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等诸多安全风险。从API的安全访问流程上进行评估，实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等。而在大多数业务场景下，API在对外提供服务时并没有部署良好的防护机制。究其原因，一方面是由于业务的快速迭代，安全负责人无法完整掌握API的使用情况、业务与安全存在割裂;另一方面是对现有API进行安全改造的成本巨大。未来，API在数字化转型中扮演的角色将愈发重要，因此亟需有效的解决方案对开放共享的数据核心资产提供保护。

然而，对于API的安全管控也并非易事。难题在于，尽管大多数安全从业者会建议隐藏资源、减少暴露面和攻击面，但业务上成功部署的API却倾向使资源更加开放和可用。并且随着云原生时代的到来，微服务核心架构下，API成为服务交付的必选，API遭遇的安全困局实际上也是现代网络安全面临的一个共性问题，对安全团队而言，既不能因为保护业务而让系统变得封闭，又要将API风险敞口保持在可控范围之内，这就需要制定平衡业务与安全的API风险管理策略，实行功能完善、具备弹性的安全管控措施。

凡事预则立不预则废

API管控应做到内化于心、外化于行。在内部做到心中有数，在外部做到知行合一。

API的安全防护离不开业务层面上对API的开发管理。一般来说，API的安全开发需要开发人员具备API安全开发的知识和意识，并遵循安全开发规范对API进行开发和部署。例如使用基础的用户名密码的方式进行身份验证，或者通过API密钥即令牌字符串进行安全防护，或者基于OAuth框架进行用户身份信息的验证以及基本信息的校验。

不仅在开发层面，事实上，对API的安全管控是一件从开发、应用，到运营、维护，整个阶段都要参与和防护的过程，这一点和传统的网络防护有所区别又有相似之处。

API安全已经成为企业时刻需要关注的安全问题，缺乏良好防护策略的API服务，不仅会对用户的使用体验以及个人隐私带来威胁，而且还会使企业面临未知的安全风险。为了提高API安全性，开发人员需要在设计和开发阶段，对API的安全性进行良好的构建和设计。对于管理人员来说，则可以使用API安全管控平台之类的安全工具，从而可以更好地对未知风险进行检测和防护，做到未雨绸缪、防患于未然。