2.3 API安全前景與趨勢

在國家政策和技術革新的牽引下，API安全正進入一個前所未有的階段，從傳統互聯網到移動互聯網，再到物聯網，正在影響人們生活的方方面面。

1.國家政策對API安全的影響

自23015年政府工作報告中提出“制定‘互聯網+’行動計劃，推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合，促進電子商務、工業互聯網和互聯網金融健康發展，引導互聯網企業拓展國際市場”以來，中國傳統行業的互聯網化得到了快速的發展。眾多傳統企業紛紛迭代升級，完成了線上線下的業務融合。如今在5G和新基建的背景下，網絡信息基礎設施的持續升級改造，云計算、大數據、人工智能等技術與業務的持續融合，互聯網生態圈的持續創新，為分享經濟注入了新的動力。對于眾多企業來說，API已經成為其面向內外部持續提高能力輸出、數據輸出、生態維系的重要載體。API經濟已是未來產業互聯網中一個重要的組成部分，通過API經濟，促進各行各業的數據變更和業務升級，這其中除了包含電商、醫療、保險、教育等關系國計民生的行業外，也包含能源、金融、交通、通信等國家基礎設施。保護國家基礎設施的網絡空間安全是國家網絡空間安全戰略中的一部分，API置身其中，必須堅決維護網絡安全，以國家安全觀為指導，積極防御、有效應對各種API安全威脅和挑戰，維護網絡秩序，保護個人隱私，共建健康、安全的API經濟生態。

2.技術革新對API安全的影響

環境改變下的產業升級倒逼著業務升級，業務升級又帶動技術應用和技術趨勢的變化。在API經濟的大趨勢下，互聯網向傳統行業滲透，各行業間相互滲透，形成橫縱交織的API網絡。在互聯網的終端上，由原來的個人計算機、辦公設備轉向IoT設備、智能手機、平板計算機，移動App、H5應用、小程序等，從機器到人，從人到機器，新技術形態帶來的流量逐步統治著互聯網。在前端，App成了移動互聯網時代的流量入口；在后端，API為流量提供了核心載體。這些新技術快速革新發展的同時，也帶來了諸多急需解決的IT問題。比如面對數目如此龐大并繼續增長的API，如何進行生產和管理？為了滿足業務需求，原有系統架構如何適應？什么樣的語言和開發工具可以適應快速的需求迭代？一定規模下，不同架構的系統（微服務、Docker、Kubernetes等）與多平臺、多技術領域的API（智能手機、平板計算機、瀏覽器等）如何通信與適配？這些問題如果得不到解決，對API應用的可用性、穩定性、安全性都是極大的挑戰。

而API帶來的新的、獨特的安全挑戰，遠遠超過傳統的Web網頁。REST API、SOAP API、GraphQL API等API技術在通信中涉及的數據格式像一個獨立的應用層，必須深入其中才能識別威脅，消除風險。為了有效地識別API資產，管理API生命周期，通過身份認證和訪問控制，對接現有IAM基礎架構，無縫地解決API安全問題是API安全市場急需的一項安全服務能力。

3.當前API安全產品現狀

API安全產品面向的用戶主要分為以下兩類。

■ 技術型管理者：在有些公司，其內部已有大量技術人員并有能力來管理、定義、開發、配置API，需要引進API安全管理理念、技術、工具、平臺來實施先進的API管理，其需要的API安全產品通常包含API安全開發工具、API安全測試工具、API管理平臺、API網關、API安全防護等不同類型的產品。

■ 非技術型管理者：這些企業通常以業務為中心，采用API設計來尋找商機，企業本身對API技術了解不多，需要借助外部資源幫助其構建API經濟，其API安全產品需求相對比較單一，更多的偏向于API管理平臺、API網關和API安全防護類產品。

無論是哪種類型的終端用戶，都會有API管理平臺、API網關和API安全防護類產品的訴求，這也是當前API安全產品市場上API管理平臺或API網關占比最多的一個主要原因。目前市場上，API管理平臺或API網關產品主要可分為公有云產品、2B交付商業化產品、開源產品三種。

其中公有云產品主要有以下幾種。

■ Amazon API網關。

■ Google Apigee API網關。

■ Microsoft Azure API管理平臺。

■ 阿里云API網關。

■ 騰訊云API網關。

2B交付商業化產品主要有以下幾種。

■ IBM API網關。

■ Kong API網關企業版。

■ Salesforce MuleSoft API網關。

■ NGINX Plus網關。

■ Red Hat 3scale API網關。

■ WSO2 API管理平臺。

開源產品主要有以下幾種。

■ Kong API網關。

■ Netflix Zuul網關。

■ Ambassador API網關。

從這些產品可以看出，目前市場上參與API安全市場競爭的既有Google、Amazon、Microsoft、IBM這樣的Top企業產品，也有Kong、NGINX、WSO2這樣小而美的解決方案。在這些產品中，公有云廠商建設API網關產品以自用和服務云上用戶為主，而23B銷售的廠商才是影響API網關或管理平臺類產品市場資源投入的主力軍。當客戶在購買此類產品時，可以從IAM、安全運營能力（流量監控、威脅防護、數據安全等）、DevSecOps融合、購買費用與許可協議等方面對產品進行打分，綜合衡量API網關產品與當前業務需求的契合度，以最優的性價比選擇合適的產品。

除了API網關或管理平臺產品外，還有一部分廠商在做著與API上下游相關聯的產品，比如主要做API測試類工具產品Postman和SoapUI，做OpenAPI的規范的SmartBear公司。

API安全防護類產品，以新型的互聯網安全企業和傳統的安全廠商產品轉型進入API安全領域為主，比如Akamai在23018年開始在WAF防護能力中談論API的安全防護，并于2020年4月期間單獨做了API安全專題。WAF廠商Imperva的Imperva SecureSphere WAF產品中專屬的JSON結構和API組件，“可動態地了解應用程序的行為，立體式保護API安全”。API安全市場似乎是尚未成型的藍海，但各大廠商已悄然進入，通過產品自建和并購，爭著要分一杯羹。

API管理平臺或API網關類產品僅僅是API安全產品的一個起點，是基于當前市場環境和API技術形態切入的API產品形態中的一種，并不是唯一的安全解決方案，想通過單一的API網關或API管理平臺類產品解決API安全的所有問題是不切實際的。

當前，中國正在進入全面數字化時代，隨著53G、新基建以及人工智能使用場景的不斷深入，全面智能化將成為趨勢，工業互聯網正在成為傳統行業企業結構升級的下一步跳板，物聯網也將成為基礎設施建設，其中每一個領域的能力釋放都離不開API的廣泛使用，這都為API從業者帶來廣闊的發展前景。