API安全已經成為企業(yè)組織的一個關鍵性業(yè)務發(fā)展問題，而非僅僅是信息安全的問題。而一個設計良好的API治理框架，不僅可以幫助企業(yè)建立起完整的開發(fā)、部署和管理API的指導方針和應用規(guī)則，同時也為企業(yè)API開發(fā)提供了一種結構化的方法。有效的API治理還有助于企業(yè)識別和減輕與API相關的風險，例如安全漏洞、合規(guī)問題和性能問題。通過實現API治理最佳實踐，組織可以優(yōu)化他們的API應用組合，改善團隊之間的協(xié)作，并增加從API投資中獲得回報。

圖：API安全治理框架體系

研究人員認為，一個完善的API治理框架，應該全面涵蓋其安全性、技術管理、利用率、監(jiān)控、標準管理、性能管理以及合規(guī)管理等多個方面。本文將對這些關鍵組成部分進行分析，并給出治理策略建議。

1、API安全性

API安全性是API治理的關鍵組件，主要保護API免受的違規(guī)訪問、濫用和其他安全風險的威脅。為了確保API的安全性，企業(yè)需要采取多種措施：

OWASP測試是一個標準化的安全測試過程，旨在識別API中潛在的安全漏洞。它需要各種安全測試技術的支撐，例如注入攻擊、跨站點腳本和訪問控制問題等等；

滲透測試是另一種用于識別API中潛在安全漏洞的技術。它涉及對API的模擬攻擊，以識別可能被攻擊者利用的潛在弱點；

API使用監(jiān)控是指檢測API使用中不尋常或不自然模式的過程。這種監(jiān)控可以幫助識別潛在的安全威脅，防止API的誤用和濫用；

代碼審查也是API安全性的一個重要方面。通過徹底檢查API代碼，開發(fā)人員可以識別潛在的安全缺陷和漏洞，并在它們成為威脅之前解決它們；

身份驗證和授權機制對于保護API的安全性也至關重要。這些機制確保只有被合法授權的用戶才能訪問所有API中被授權的資源。此外，API端點的設計必須區(qū)分用戶和管理員，以防止未經授權的訪問；

實現強大的安全措施對于確保API的安全性和完整性至關重要。通過實施這些措施，組織可以保護API免受潛在的安全威脅，并確保API服務安全可靠地交付給用戶。

2、API技術管理

API技術是API治理中的重要組成部分，它包括為API開發(fā)選擇和管理適當的技術堆棧。為了確保技術的有效使用，企業(yè)需要對現有API開發(fā)技術進行記錄備案，不斷引入新技術并淘汰過時技術，同時促進新技術的落地應用。

對現有API開發(fā)技術進行記錄備案，可以讓組織對用于API開發(fā)和管理的技術有一個清晰的理解。這些信息可以幫助識別技術堆棧中的潛在安全防護缺口、重疊和冗余。

引入新技術是API技術發(fā)展的另一個重要方面。它可以確保技術堆棧保持最新狀態(tài)，并與最新的行業(yè)標準和最佳實踐保持一致。此外，檢查Gartner等研究機構發(fā)布的魔力象限可以幫助組織識別新興技術，并評估其對API開發(fā)和管理的適用性。在評估當前技術堆棧的有效性時，識別生產事故并為其貼上技術標簽也是至關重要的。它有助于識別需要改進的領域，并識別無法滿足業(yè)務需求的舊技術。

3、API利用

API利用也是API治理框架的一個關鍵組成部分，它主要指監(jiān)控和優(yōu)化API的使用，以確保其價值和應用效率的最大化。為了實現這一點，企業(yè)需要采取一些措施，主要包括：

• 在管理端集中使用API，這樣可以讓組織清楚地了解各種應用程序和服務之間的API使用情況，識別潛在的性能瓶頸以及需要優(yōu)化的領域；
• 撤銷或合并未使用的API，確保這些API不會消耗不必要的資源，并降低API生態(tài)系統(tǒng)的整體復雜性；
• 要確保使用率高的API能夠得到及時擴展和優(yōu)化。通過識別利用率高的API，組織可以優(yōu)化其性能，增加可擴展性，并改善整體用戶體驗；
• 公開API目錄，這樣開發(fā)人員更容易發(fā)現和重用現有API，而非構建新的API，這不僅節(jié)省了時間和資源，還能夠提高API應用的一致性，降低了API生態(tài)系統(tǒng)的整體復雜性；
• 最后，計算API成本并實施成本優(yōu)化也至關重要。通過確定運行時成本（如CPU、網絡和日志量），組織可以實施成本優(yōu)化措施并將不必要的成本降至最低。

4、API運行監(jiān)控

API監(jiān)控是API治理的一個關鍵方面，它涉及跟蹤和分析API的性能、可用性和安全性。為了確保有效的API監(jiān)控，組織需要盡快實施以下技術措施：

• 首先，建立API監(jiān)控的要求規(guī)范是必要的。這包括建立一個專用的監(jiān)視系統(tǒng)，并定義監(jiān)視指標和閾值，跟蹤關鍵性能指標，如響應時間、錯誤率和正常運行時間，以確保API的安全性和性能；
• 發(fā)布日志保留和卷號（volume number）也是API監(jiān)視的重要方面。它可以幫助組織識別API使用性能的變化趨勢，組織可以使用此數據來識別需要優(yōu)化的過度使用API，或者檢測其中的安全漏洞；
• 此外，為不尋常的模式、峰值和其他異常參數設置警報可以幫助組織快速識別和響應問題。這確保了各種API安全問題都能及時得到解決，減少長時間停機或服務中斷的風險。
• 最后，要密切監(jiān)控API的SQL注入和其他攻擊。組織應該實施預防和檢測此類攻擊的措施，例如輸入驗證、加密和訪問控制等，這有助于將數據泄露的風險降至最低，并確保API是安全和合規(guī)的。

5、API標準

API標準是API治理的重要組成部分，因為它們確保API在整個組織中得到一致的開發(fā)和維護。為了確保遵守API標準，組織應該實施以下措施：

• 遵循OpenAPI標準，該標準定義了描述RESTful API的標準方法。遵循這個標準可以確保API有良好的文檔記錄，易于理解，并可與其他API實現互操作；
• 使用自動化的API審計工具。這些工具可以掃描API代碼和配置，以發(fā)現潛在的問題，例如安全漏洞或違規(guī)。這有助于確保API是安全的、兼容的和高質量的；
• 要求團隊提交API YAML文件和Postman集合。這確保了API文檔和測試工件是最新的，并且易于其他團隊訪問，有助于確保API經過良好的文檔記錄和測試。
• 最后，支持金絲雀發(fā)布（canary release）和版本控制對于確保API能夠有效地部署和管理至關重要。Canary發(fā)布涉及將新功能部署給一小部分用戶，在向更廣泛的用戶發(fā)布之前測試其影響。版本控制包括為每個API分配一個唯一的版本號，以確保對一個版本的更改不會影響其他版本。 

6、API性能管理

API性能管理是API治理的一個關鍵方面，因為它直接影響用戶體驗和API組合運營的成本。為了確保API應用保持最佳的性能狀態(tài)，企業(yè)應該實施以下措施：

• 使用Kibana、AppDynamics或Nginx等工具監(jiān)控API性能。這些工具可以洞察API響應時間、錯誤率和其他性能指標。通過監(jiān)控API性能，組織可以快速發(fā)現問題并采取糾正措施；
• 為低性能API設置警報，并通知團隊采取行動。這可以確保及時發(fā)現和解決性能問題，最大限度地減少對用戶的影響；
• 優(yōu)化低性能API。每個用戶都希望API能夠快速響應，任何延遲或錯誤都可能導致滿意度降低甚至是業(yè)務損失。通過優(yōu)化API性能，組織可以提供更好的用戶體驗并降低運營成本。

7、API合規(guī)

API合規(guī)管理是為了確保API遵從內部公司策略和監(jiān)管需求，合規(guī)主要有兩種類型：內部合規(guī)和監(jiān)管合規(guī)。

內部合規(guī)指的是遵守管理組織內API開發(fā)和使用的內部策略和標準。這些策略可以包括數據安全、隱私和治理；監(jiān)管合規(guī)指的是遵守管理API開發(fā)和使用的外部法規(guī)和標準。這些法規(guī)可以包括特定于行業(yè)的標準，例如用于醫(yī)療保健的HIPAA或用于支付卡數據的PCI DSS。

為了確保API合規(guī)性，企業(yè)可以執(zhí)行連續(xù)掃描，例如靜態(tài)和動態(tài)掃描，以確定潛在的技術合規(guī)性問題，其中靜態(tài)掃描可以分析代碼的安全漏洞，而動態(tài)掃描可以模擬對API的攻擊，以識別潛在的漏洞。在早期開發(fā)過程中檢測API安全性是很重要的，因為這可以幫助在開發(fā)周期的識別和解決合規(guī)問題。

參考鏈接：??https://dzone.com/articles/api-governance-best-practices-and-strategies-for-e??