WAF和网关不能全面保护API

API是当今现代应用的基础，但只有少数企业真正认识到API的重要性或其呈现的风险水平。API对攻击者的吸引力太大了，以致于承担了与自身体量很不相称的风险，但太多企业假定Web应用防火墙(WAF)和API网关能够充分保护自身API。实际上，这些技术由于固有的设计局限而无法阻止绝大多数类型的API攻击，往往会给企业造成自身API和API驱动的应用很安全的虚假感觉。

API对每个企业而言都很特殊，针对API的真实攻击往往不遵循已知漏洞的明确模式。对抗这类安全风险需要运行时安全，运行时安全才能够持续学习API行为并尽早阻止攻击者，无论攻击者所用的攻击技术是哪种。

安全团队需利用WAF或API网关之外的技术解决API安全问题。

记得2005年左右还有人争论称，网关供应商会站出来满足对额外安全功能的需求，至少Apigee这家供应商确实发布了一个安全附加模块。然而，API安全毕竟很大程度上是一组独立供应商的专属领域，而不是API网关企业的专利。

企业通过API暴露出了大量应用和海量数据。API造成的数据泄露和未授权访问很常见。今天的API安全由大量工具组合构成：一些扩展到API防护的运行时应用安全工具，一些解决特定安全用例的API管理工具，可以测试API的应用安全测试工具，以及专用于API的安全工具。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!