五原则四实践，REST API安全性请谨记

云原生和微服务架构等技术的原则流行让API受到越来越大的重视。那么当应用程序开始上云 ，实践各项需求都可以通过云服务满足的全性请谨情况下，应用程序
，原则尤其基于云端API的实践应用程序的安全问题该如何解决
？

延伸阅读
，点击链接了解 Akamai API Security

表现层状态转移（REST ，全性请谨Representational State Transfer）这种软件架构风格最早可追溯到计算机科学家Roy Fielding于2000年发布的原则一篇博士论文。在此后多年里 ，实践REST API（有时也称为RESTful API）逐渐发展成为一种非常流行的全性请谨API架构模型 ，多用于Web和移动应用，亿华云原则以及企业对企业应用和企业内部系统
。实践

虽然很多实现也用了其他API方法（如SOAP、全性请谨GraphQL和gRPC） ，原则但REST API因为易于实现而获得了最广泛的实践使用。REST API设计非常便于现代前端框架使用，全性请谨因此成为Web应用、移动应用以及许多内部和企业间API实现的热门选择。

REST API安全性五大原则

尽管REST API能以高度安全和弹性的方式实施，但有些基本的API安全标准对任何实施都至关重要。

在REST API设计中构建安全性的五大原则是：

始终使用TLS加密实施完善且可扩展的建站模板身份验证和授权模型不要在URL中包含敏感信息严格定义允许的RESTful API请求和响应实施持续的API发现功能始终使用TLS加密

与其他类型的敏感HTTP流量一样，对RESTful API使用TLS可以确保API消费者与API端点间的所有通信都经过加密 。这对于REST API安全和Web应用程序安全同样重要，因为由此产生的HTTP流量包括敏感的身份验证详细信息，如密码、API密钥或令牌 。

实施完善且可扩展的身份验证和授权模型

可以使用许多不同技术来管理对REST API的访问。最常用的高防服务器技术是API密钥和安全令牌。但密钥和令牌的管理可能是一种相当复杂的工作。

这往往会导致无意中出现REST API安全漏洞。通过与兼容OAuth 2.0的身份管理提供商集成来进行身份验证和发放访问令牌，可降低这种风险。集中式API网关也可用于规范和保护REST API安全方法 。

不要在URL中包含敏感信息

在URL中包含敏感信息（包括用户凭据 、密钥或令牌） ，这是一种常见的REST API设计缺陷 。免费模板即便在使用TLS的情况下 ，攻击者也很容易发现这些信息
 。API请求数据路径上的各种服务器和网络设备也会经常记录URL ，如果URL中包含敏感信息，就会导致进一步的数据泄漏 。

严格定义允许的RESTful API请求和响应

我们需要假定攻击者会试图以恶意或无意的方式使用API 。因此，切勿默认信任RESTful API请求。要采取的最重要步骤之一是：验证任何参数或对象的源码库格式
、长度和类型等属性。

我们还应该严格管理REST API可提供的响应类型
 。例如，响应应仅限于明确允许的内容类型 ，如GET 、PUT和POST 。

实施持续的API发现功能

即便是遵守REST API安全最佳实践的企业，也可能会被正常流程之外实施的影子API或尚未退役的遗留基础设施中被遗忘的云计算僵尸API打个措手不及 。因此 ，实施持续的企业级API发现功能至关重要 。

保障为所有API维持完整清单的最佳方法是从所有可用的API活动信息源收集数据 ，这些信息源包括：

API网关内容交付网络云提供商日志日志管理系统编排工具

分析这些数据以获取API活动的证据 ，可确保安全团队了解整个企业使用的所有API。发现任何意外的REST API后，都可以通过应用适当的REST API最佳实践来停止使用 ，或将其纳入正式清单。

四大高级REST API安全最佳实践

在REST API设计中实施一套基础安全标准是必不可少的第一步，但仅靠这些步骤并不能保证应用程序完全安全。许多攻击者已经开发出了规避REST API基本安全措施的高级技术。毕竟，并不是每次REST API安全攻击都以攻破Web应用程序基础架构为目
。

在许多情况下 ，攻击者只是希望以非故意的方式使用API功能来访问敏感数据并获得竞争优势 。这些活动可能来自可信来源，如已获准访问REST API的客户或合作伙伴 。凭证 、密钥和令牌也可能被窃取或劫持，从而使攻击者在我们的基线REST API安全标准之外推进类似活动。

为了获得更完善的保护，防止这些更复杂的API滥用方式 ，我们可以使用以下四种高级REST API安全最佳实践 ：

使用云收集大量REST API安全数据集将行为分析应用于REST API数据为开发和运营团队提供有关REST API使用情况的见解开展积极主动的REST API威胁猎捕活动使用云收集大量REST API安全数据集

许多第一代API安全技术都是在企业内部运行的。因此它们的作用仅限于分析非常短的活动窗口，之后API数据就会被丢弃 。这种方式的效果极为有限 ，因为许多类型的API滥用活动都是在数周甚至数月内以低速缓慢的方式进行的。将API活动数据发送到云端 ，就能积累获得API详细信息所需规模的数据 ，存储时间跨度可达一个月或更长。这为更复杂的分析技术打开了大门。

将行为分析应用于REST API数据

一旦掌握了大量有意义的REST API活动信息 ，我们还可以利用云计算的计算规模来执行行为分析。增强REST API安全策略的第一种方法是识别相关实体 ，从而获得更多背景信息。实体可能包括用户以及有意义的业务流程。

有了这些上下文，我们就可以确定API的正常使用模式。在此基础上
，可以进一步分析以检测异常 。这种类型的异常检测是发现滥用的最佳方法，尤其是当滥用来自经过验证的用户时。

为开发和运营团队提供有关REST API使用情况的见解

保护企业免受REST API安全漏洞侵害的最佳方法之一是完全避免这些漏洞。与开发人员和运营人员共享有关RESTful API使用和滥用情况的信息，将有助于企业在开发和实施流程的早期就采用更好的REST API安全实践，实现“向左转”。

开展积极主动的REST API威胁猎捕活动

不要等到REST API滥用升级为严重安全事件时才采取行动 。积极主动地调查REST API使用情况并查找滥用企图（即使没有成功），这有助于我们发现REST API安全实践中的薄弱环节。

检查API使用活动也是发现REST API安全漏洞的有效方法
。在攻击者利用这些漏洞之前找到并消除它们，是增强REST API安全态势的最有效方法之一
 。

总结

Akamai已帮助大量全球知名的企业实施了基础和高级REST API安全最佳实践。从API发现到行为分析，再到托管的威胁猎捕服务，我们的方法将帮您加快REST API安全工作的步伐。

—————————————————————————————————————————————————

如您所在的企业也想要进一步保护API安全
，

点击链接了解Akamai的解决方案