【赛迪网讯】移动终端的智能化带来一个非常显著的变化即零售业务在手机上进行。手机登录、下单、拉入购物车、支付，这成了当下购物的常态。电商的迅猛发展和走向移动终端带来的另一结果就是API节点调用爆炸性增长，由此也带来API安全问题的突出。

在网络安全领域里，针对API安全推出相关产品也成为许多头部企业的吸睛卖点。Akamai就是其中之一，其标志性的商业战略选择是在去年6月Akamai收购了Noname公司。Noname是一家专注于API安全的网络安全服务商，在去年的收购案中通过与Akamai的产品结合，可以帮助用户更好地应对API滥用和风险，也大大增加了Akamai在API安全市场上的优势。

春节结束伊始，又迎来了情人节，这个日子自然是电商一年中的火热时候。就是在这个物流火热的日子里，Akamai召开了一场关于物流行业API安全的媒体交流会。赛迪网对其去年的收购和API战略作了深度专访。

API安全隐患在全球处于上升趋势

电商和物流是两个紧密相关的行业。物流行业的API安全问题主要来自电商的发展，涉及到业务相关数据、用户数据，还包括合规性以及财务信息的安全问题。如今，不仅中国的电商越来越多地通过手机终端展开，美国在内的发达国家电商也同样向手机端靠拢。数据显示，在去年年底的两个月里，美国购物季线上成交额达到2410亿美元，最高的两个时间点分别是11月底的“黑色星期五”和12月初的“网络星期一”。这2410亿美元的成交额中超过50%是通过手机完成，手机端的交互基本上是通过API来完成。

因此，在购物季的线上消费过程中，API的流量占比非常大。并且，这个趋势还会随着电商的发展继续增大，根据权威机构的预测，物流市场的年复合增长率将超过20%，到2030年，物流行业整体仍然会呈现快速增长的趋势。因此，API安全问题的挑战不容小觑。

不仅消费者登录、支付等手机操作会调用API，系统内部之间的数据交换也离不开API。在程序开发过程中，不同的软件模块之间的数据交互，通常也是通过API调用完成，商家与商家之间、商家与物流公司之间、商家与制造厂商之间的数据交互，大部分也是通过API实现。由于API的调用和交互已经成为主流，在销售额巨大的购物季，数据量激增和用户交易频繁，网络犯罪活动也会变得更加活跃。在许多中大数据泄漏事件中，约30%-40%都源于API漏洞。

API安全面临的问题

Akamai北亚区技术总监刘烨将API安全的问题分成四类。分别是外部API、内部API、第三方合作伙伴API和第三方API。

Akamai北亚区技术总监 刘烨 Akamai北亚区技术总监 刘烨

外部API的调用需要认证，比如用户登录后会获得一个Token，凭借这个Token可以进行登录、查询和其他操作。因为它暴露在互联网上，与用户直接交互，且调用API的用户身份难以确定，因此外部API风险相对较高。而与之相对的内部API调用是在企业的数据中心或云数据中心内完成，因此风险相对较低。因为这些API调用在企业内部环境中被严格管控，外部攻击者难以直接访问。

第三方合作伙伴API是指企业向合作伙伴开放的API，例如电商会通过物流公司的API创建订单告诉物流公司从哪里取货、送到哪里，这种API调用属于B2B场景，即商家对商家的调用。第三方合作伙伴API的风险介于外部API和内部API之间，因为企业内部API完全由自己控制，外部API则暴露在互联网上，企业无法完全控制调用者。虽然如此，企业也可以部分控制API的开放范围来降低风险。

而第三方API则是指企业在业务中需要使用第三方服务时调用的外部API。第三方API的安全性主要取决于第三方服务提供商。企业可以监控调用过程，但真正的API安全由第三方负责。第三方API必须经过认证和授权，并确保数据不会存在泄露风险。因此，这种API调用的安全性更多依赖于第三方服务的可靠性。

综合来看，目前API的监控存在的安全在于API库存不全、可观察性有限、缺乏运行时控制、测试不足。企业在管理API时，因为缺乏对API的全面可视性，无法判断是否存在“影子API”（即未记录在标准文档或规范手册中的API），这些API可能已经被外界调用，但企业却毫不知情。也无法判断是否所有API访问都经过了WAF（Web应用防火墙）或API Gateway的保护。一些API调用行为看似正常，但在频率或模式上可能存在异常。黑客也可以通过伪造请求或频繁调用API来窃取敏感信息。在开发过程中，如果没有对API的认证、权限管理、异常调用等进行充分测试，那么在应用上线后，这些问题可能会被攻击者利用。

对此，Akamai的解决方案是提高对API的可视性，准确掌握API的调用情况；识别和阻止异常调用行为；实现API安全测试的自动化和左移。

Akamai的应对策略

在收购Noname以后，基于Noname在API安全上长期耕耘的经验，Akamai提供了包括四个部分的API安全解决方案，这四个部分分别是：API发现、安全态势管理、测试和运行保护。

API发现是通过该工具帮助企业盘点“API库存”，因为不同的开发者可以对一个应用的全貌并不了解。安全态势管理的目标则是解决“开发过程中的失误可能导致的数据泄露”问题，无论通过何种方式调用API，返回的数据中都不应该包含PII（个人身份信息）或其他敏感数据。渗透测试是模拟真实用户的访问行为，检查API是否存在漏洞。运行保护是指API上线后，Akamai的API安全产品会用几天时间学习API的正常行为模式，形成基线。通过机器学习，系统能够识别哪些行为是异常的，从而判断哪些访问可能存在风险。一旦发现异常行为，系统会发出告警，帮助用户及时处理运行时可能出现的问题。

总的来说，通过收购Noname，Akamai以分层设计、API管理、特征防护和逻辑防护为手段，结合API盘点、身份验证、速率限制、监控基线、安全审计等步骤完善了细节，让用户在移动购物过程中即使在多云环境里也可以获得API的有效防护，保证了购物全流程的安全。