高峰期API危机：赢下这场攻防守卫战 原创

每年的购物季，电商平台和物流公司都会迎来一场“流量风暴”。这不仅考验着技术架构的承载能力，更挑战着数据安全的底线。2024年11月末的“黑色星期五”和12月初的“网络星期一”，美国两大购物季的线上交易额达到了2410亿美元，超过50%的交易通过手机完成。

随着消费者购物方式的转变，移动端交易的激增使得背后的API流量暴涨。从商品浏览、下单、支付到物流配送，几乎每个环节都依赖于API的顺畅交互。例如，用户下单后填写送货地址，信息会传递给物流公司的APP，用户不仅可以在电商平台查看订单状态，还能通过物流公司APP实时追踪包裹。

所有流程背后都依赖着API的高效协作，安全风险也随之扩大，涉及到业务相关数据、用户数据，甚至可能影响合规性和财务信息。根据行业统计，过去12个月中，约30%-40%的重大数据泄露事件与API漏洞有关。

刘烨 Akamai北亚区技术总监

在这个充满机遇与挑战的购物季，API的安全防护，正是一场关乎企业安全的攻防守卫战。Akamai北亚区技术总监刘烨详细拆解了企业内部的主要四种API类型，包括外部API、内部API、第三方合作伙伴API和调用第三方API。帮助企业更好地理解和应对不同场景下的API安全风险，确保数据流通的安全性和完整性。

外部API：指最终使用者交互的API，每当用户登录、查询订单或追踪物流时，背后都是通过外部API完成，由于它暴露在互联网上，所以也是风险的高发区。此类API需要认证（如Token），且用户身份难以完全确认，安全风险较高。

内部API：指企业内部多个应用之间的交互。例如，企业不同模块之间的数据交换，或一个业务单元调用另一个业务单元的服务。这类API通常在企业的内部环境或云数据中心内进行管理，外部攻击者难以直接访问，风险相对较低。

第三方合作伙伴API：指企业与合作伙伴开放的API。例如，电商公司通过API向物流公司传递订单信息，物流公司通过API将实时送货信息反馈给电商。这类API的风险介于外部和内部API之间。虽然企业无法完全控制合作伙伴的行为，但可以通过明确合作伙伴名单、限定调用权限等方式对API的使用进行部分控制，从而降低风险。

调用第三方API：指企业在业务中需要使用第三方服务时调用外部API的场景，例如，物流公司使用第三方支付平台的API处理订单支付，如果物流公司没有自己的支付接口，便会调用第三方API。调用第三方API的安全性主要取决于第三方服务提供商的安全措施，企业虽然能够监控调用过程，但数据保护最终由第三方负责。

传统的API管理方式存在四大局限，这些局限性不仅增加了企业的安全风险，也使得API的管理变得更加复杂和困难。刘烨谈到，在API管理过程中，传统方式可能存在库存不全、可观察性有限、缺乏运行时控制、最少的测试四大局限。

API库存不全：企业在API管理中常常缺乏全面的可视性，如果企业没有进行完整的API盘点，尤其在高负载场景下（如购物季），这些“影子API”（即未记录在标准文档或规范手册中的API）可能成为安全隐患，导致数据泄露或滥用。

可观察性有限：企业在管理API访问时，往往缺乏足够的可视性和控制力。如果企业无法清晰掌握这些信息，就很难在流量激增的情况下有效控制API访问，攻击者可能利用这一点进行恶意调用。

缺乏运行时控制：在运行时，企业对API的调用行为可能缺乏有效检测与控制，企业需要在运行时实施实时监控，基于行为模式识别潜在风险。

测试不足：在传统开发流程中，API的安全测试往往被忽视，或者仅在开发后期进行，存在测试左移不足、缺乏API安全测试等问题。企业应将API安全测试左移到开发阶段，及时发现并修复潜在问题。

随着API安全问题日益复杂，传统的WAF（Web应用防护系统）和API Gateway已无法完全应对新型的攻击模式。去年6月Akamai收购Noname，并结合其API安全的能力，可以更好地提高对API的可视性，准确掌握API的调用情况；识别和阻止异常调用行为；实现API安全测试的自动化和左移。

Noname提供的API安全解决方案包括四个核心模块：API发现、安全态势管理、测试和运行保护。

API发现可以帮助企业盘点和管理API“库存”，很多企业未能全面掌握自己开放了多少API，甚至存在“影子API”。通过API发现工具，企业可以清楚了解所有API，避免潜在的安全风险。

安全态势管理的目标是解决“开发过程中的失误可能导致的数据泄露”问题，清楚地了解哪些问题可能会带来风险，从而帮助企业发现和解决因开发问题导致的潜在安全隐患。

API的安全测试，特别是渗透测试是模拟真实用户行为，检查API漏洞。Akamai解决方案可以根据企业提供的API文档，自动生成测试用例，并模拟终端用户的访问行为，测试API调用过程是否存在漏洞，确保API的安全性。

运行保护是指API上线后，Akamai的API安全产品会学习API的正常行为模式，形成基线。通过机器学习，系统能够识别哪些行为是异常的，从而判断哪些访问可能存在风险。在购物季等高流量期间，这种AI运行保护机制已帮助多家企业成功保护API和业务逻辑。

“Noname的解决方案能够覆盖四种API调用类型，并为每种调用类型提供针对性的安全防护。”刘烨说道。API安全解决方案的独特价值在于能够理解API的上下文和业务逻辑，将单一请求放入整体环境中分析，识别出潜在的复杂风险。

当然企业也需要在构建和管理API时进行相应的分层设计，可以有效减少API的安全风险。

包括第一层API管理工具、第二层特征防护工具、第三层API逻辑防护。

除了分层防护，刘烨还总结了管理API的五大实践，可以更好地降低API安全风险。第一，API盘点至关重要，企业需全面掌握API数量和调用情况，防止“影子API”带来的安全隐患；第二，身份验证与授权必须严格执行，确保只有合法用户才能访问API，避免未授权访问导致数据泄露；第三，速率限制与访问控制有助于防止滥用和DDoS攻击，确保系统稳定运行；第四，监控与基线建立能够通过持续监测API调用行为，识别异常请求，并设置预警机制。第五，安全审计与渗透测试可帮助企业定期模拟攻击行为，发现潜在漏洞并及时修复。通过这五大实践，企业可以全面提升API安全性，确保业务持续稳定运行。

在实际应用中，API滥用的案例屡见不鲜，尤其是在没有完善安全措施的情况下。例如，一些企业的API在认证Token过期后仍允许用户继续访问，攻击者可以利用这个漏洞重复发起请求；还有恶意用户通过篡改ID来访问他人数据，频繁操作则会导致数据泄露；DDoS攻击通过大量快速的API请求消耗服务器资源，导致系统崩溃。所以未来在日益复杂的数字环境中，API的安全管理不容忽视，只有加强防护措施，才能在保证业务发展的同时，最大限度地减少安全漏洞。