IDC將API安全定義為專(zhuān)門(mén)為保護(hù)API通信免受誤用、濫用和漏洞利用而設(shè)計(jì)的解決方案，其所提供的功能包括API資產(chǎn)發(fā)現(xiàn)、驗(yàn)證和執(zhí)行，動(dòng)態(tài)和自適應(yīng)的流量監(jiān)測(cè)和模式分析、檢測(cè)和阻止威脅，例如惡意軟件、漏洞利用、代碼注入、機(jī)器人流量、DDoS攻擊、欺詐和濫用等。目前API安全多以API安全網(wǎng)關(guān)、API安全管理平臺(tái)等產(chǎn)品形式進(jìn)行交付。

IDC認(rèn)為，API的安全防護(hù)市場(chǎng)在中國(guó)還處于初步發(fā)展階段，產(chǎn)品和技術(shù)能力還需進(jìn)一步加強(qiáng)。目前，國(guó)內(nèi)眾多網(wǎng)絡(luò)安全廠商、數(shù)據(jù)安全廠商、云計(jì)算服務(wù)商、專(zhuān)業(yè)的API安全廠商紛紛布局API安全市場(chǎng)，且各個(gè)廠商結(jié)合自己的技術(shù)積累和行業(yè)優(yōu)勢(shì)推出了各具特色的產(chǎn)品和解決方案。

IDC結(jié)合當(dāng)前中國(guó)API安全市場(chǎng)發(fā)展現(xiàn)狀及未來(lái)趨勢(shì)，為技術(shù)買(mǎi)家提供以下幾點(diǎn)建議：

●   DevSecOps幫助企業(yè)將安全融入到DevOps整體交付流程，從開(kāi)始階段就將安全列為優(yōu)先事項(xiàng)。完整的API安全防護(hù)解決方案應(yīng)從API開(kāi)發(fā)和部署開(kāi)始，運(yùn)用SAST、DAST等手段在開(kāi)發(fā)環(huán)節(jié)檢驗(yàn)安全漏洞和錯(cuò)誤配置的問(wèn)題，幫助用戶從根源上降低API安全風(fēng)險(xiǎn)。

●   API資產(chǎn)的發(fā)現(xiàn)與管理是做好API安全的基礎(chǔ)，但僅靠安全團(tuán)隊(duì)人工梳理很難全面獲取企業(yè)所有API資產(chǎn)信息及其應(yīng)用狀態(tài)。一方面需要相關(guān)業(yè)務(wù)部門(mén)的協(xié)同支持；另一方面，需要通過(guò)自動(dòng)或半自動(dòng)化的工具全面檢測(cè)和識(shí)別企業(yè)網(wǎng)絡(luò)中的各類(lèi)API資產(chǎn)，并根據(jù)企業(yè)自有規(guī)則進(jìn)行精細(xì)化分類(lèi)管理。

●   API安全不僅需要關(guān)注API自身的暴露面和漏洞信息、API的訪問(wèn)權(quán)限精細(xì)化管理、日志監(jiān)控缺失等問(wèn)題，還需要監(jiān)測(cè)通過(guò)API流轉(zhuǎn)的數(shù)據(jù)是否存在違規(guī)調(diào)用、敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改等數(shù)據(jù)安全問(wèn)題，企業(yè)應(yīng)結(jié)合自身業(yè)務(wù)需求，合理規(guī)劃防護(hù)重點(diǎn)并選擇匹配的技術(shù)提供商。

●   對(duì)于業(yè)務(wù)部門(mén)來(lái)說(shuō)，為了防護(hù)API安全而顯著影響業(yè)務(wù)系統(tǒng)的響應(yīng)速度是不可接受的。因此，企業(yè)在進(jìn)行廠商能力評(píng)估時(shí)需要重點(diǎn)關(guān)注產(chǎn)品的性能表現(xiàn)，尤其是面向?qū)νㄐ潘俣扔休^高要求的業(yè)務(wù)系統(tǒng)提供API安全防護(hù)時(shí)，更要做好速度、功能、穩(wěn)定性和一致性等多方面的平衡。

分析師觀點(diǎn)