Google推出Advanced API Security 保护API免受安全威胁

API这一概念从发明之后就一路上升，一项调查发现，超过61.6%的开发者在2021年比2020年更依赖API。但它们也越来越成为攻击的目标。根据网络安全厂商Imperva委托的一份2018年报告，三分之二的组织正在向公众和合作伙伴暴露不安全的API。

Advanced API Security专门从事两项工作：识别API错误配置和检测机器人。该服务定期评估管理的API，并在检测到配置问题时提供建议的行动，它还使用预先配置的规则提供一种方法来识别API流量中的恶意机器人。每条规则代表来自一个IP地址的不同类型的异常流量；如果一个API流量模式符合任何规则，Advanced API Security就会将其报告为机器人访问。

"配置错误的API是造成API安全事件的主要原因之一。虽然识别和解决API错误配置是许多组织的首要任务，但配置管理过程很耗时，需要相当多的资源，"Google云产品负责人Vikas Ananda在公告前与TechCrunch分享的一篇博文中说。"高级API安全使API团队更容易识别不符合安全标准的API代理……此外，Advanced API Security通过识别成功导致HTTP 200 OK成功状态响应代码的机器人，加快了识别数据泄露的过程。"

随着Advanced API Security的推出，Google显然在寻求加强Apigee旗下的安全产品，它在2016年以超过5亿美元的价格收购了Apigee。但该公司也在应对API安全领域日益激烈的竞争。提供以API为重点的网络安全产品的初创公司包括Salt Security、Noname Security和Neosec。许多成熟的供应商近年来也扩大了他们的产品，包括Barracuda、Akamai、42Crunch、Traceable、Ping Identity和Signal Sciences。

3月，Cloudflare推出了一个新的网关，旨在提高API安全性。而在5月，Imperva收购了API安全公司CloudVector。

虽然这些产品的性能比较起来还没有定论，但API攻击的威胁是真实存在并日益增长的。在过去几个月里，Peloton、Parler甚至LinkedIn等公司都成为了API驱动的攻击的受害者。他们并不是唯一的受害者。根据Cloudentity最近的一项研究，44%的公司经历了与隐私、数据泄漏和面向内部和外部的API的对象财产暴露有关的"实质性"API授权问题。