应用程序编程接口 (API) 曾经是一个纯粹的技术概念，旨在让开发人员的工作更轻松，如今它已发展成为现代数字业务的基础之一。如今，API 随处可见——在家里和移动设备中、在企业网络和云端，甚至在工业环境中，更不用说物联网 (IoT) 了。新兴的生成式人工智能时代也完全依赖 API 来实现与现有业务应用程序的集成。我们关注市场近十年，早已认识到 API 是最重要的 IT 趋势之一。对公开和使用 API 的需求快速增长，使组织能够创建新的业务模式并与合作伙伴和客户建立联系，这促使行业倾向于采用表述性状态转移 (REST) 等轻量级方法。API 现在为向合作伙伴和客户提供数字产品的物流提供支持。现在几乎每个软件产品或云服务都附带一组用于管理、集成、监控或多种其他目的的 API。

这种演变只会继续加速。随着各行各业出现新的数字化转型计划，多样化的商业模式正在极大地重塑 API 开发和运营的技术要求。为了支持众多用例而引入的新标准、技术和开发方法也给现有的 API 管理平台带来了额外的复杂性。REST API 如今仍被广泛使用，但它们正逐渐被各种替代协议和标准（如GraphQL或gRPC）所增强或取代。事实上，该行业发展如此之快，以至于传统意义上的 API 管理解决方案（如 API 网关）已经可以被视为 IT 遗留产品。现代、松散耦合的云原生应用程序架构需要能够处理复杂流量模式并处理基于容器的临时基础设施的 API 管理解决方案。

图 1：组织面临的 API 挑战

不幸的是，许多组织仍然倾向于低估在没有安全策略和基础设施的情况下公开 API 的潜在安全挑战。尽管 OWASP 等组织正在通过最近更新的API 安全 Top 10等项目大力提高人们对关键 API 风险的认识，但这有时会产生相反的效果——公众往往会忘记他们必须处理的其他问题，而不仅仅是这个重要但绝对不是详尽的列表。多项研究估计，API 已成为 Web 应用程序的最大攻击媒介。然而，这一说法甚至没有包括 API 不受控制的扩散可能暴露的众多其他潜在攻击媒介，包括公共云、分布式应用程序和微服务、移动客户端等。

图 2：API 复杂性爆炸式增长

从某种意义上说，API 安全早已成为一个独立的行业；随着行业面临的风险和挑战范围呈指数级增长，API 安全解决方案必须扩大其覆盖范围并增加其复杂性。提供针对各种特定于 API 的威胁的全面保护并在 API 的整个生命周期内始终如一地做到这一点非常复杂。了解这些 API 背后的业务逻辑并相应地调整保护则更加复杂。

我们的方法是强调 API 安全解决方案比传统（有些人可能会说是“老式”）API 管理产品越来越流行。本报告涵盖了 API 安全和管理市场的现状。

1.近年来，API 管理和 API 安全市场都经历了强劲增长，这得益于各行各业 API 采用量的大幅增加，以及这些 API 面临的安全和合规风险的持续压力。

2.API 的发展速度不断加快，多种标准、协议和架构不断涌现，范围从传统的 REST API 扩展到包括 GraphQL、gRPC 甚至异步协议，例如Kafka或MQTT，这些协议以前甚至不被视为 API。

3.API 安全早已成为一个独立的行业；随着行业面临的风险和挑战范围呈指数级增长，API 安全解决方案本身也必须扩大其覆盖范围并增加复杂性。

4.随着大规模数据泄露事件的频发和各行业新出台的合规性法规的出台，人们对 API 安全风险和挑战的整体认识不断提高。如今，纯 API 安全供应商的市场估值已达到 10 亿美元。

5.通过收购进行的市场整合仍在继续，不仅小型精品供应商被纳入更大的投资组合，而且主要的市场领导者也被纳入其中。

6.API 发现和安全监控解决方案仍然是 API 安全市场上最受欢迎的产品类别，但解决 API 生命周期其他阶段的解决方案也越来越受欢迎。

7.“左移”的概念可以说是市场上最新的流行语，目前有多家供应商正在扩展其产品组合，以包括 API 测试解决方案。不过，这些工具与现有安全和管理平台的集成程度差异很大。

随着传统意义上的 API 管理功能逐渐商品化，供应商不断为其产品添加复杂的安全功能，以保持与纯 API 安全解决方案的竞争力，而且其数量也在迅速增长。API 管理和 API 安全不应再被视为 IT 基础设施中独立的、孤立的组件。相反，选择“API 结构”的正确组件应涵盖应用程序开发和运营、数据和基础设施安全以及法规遵从性等方面。API 发现和安全监控解决方案仍然是 API 安全市场上最受欢迎的产品类别，但针对 API 生命周期其他阶段的解决方案也越来越受欢迎。最值得注意的是，以数据为中心的安全概念正在获得关注，其重点从基础设施转向保护 API 暴露的敏感数据。

供应商越来越多地将人工智能和机器学习 (ML) 融入其解决方案中，以实现复杂的安全分析，并实时检测 API、其消费者甚至终端设备的行为配置文件中的恶意或可疑异常。随着生成式人工智能的日益普及，我们可以预期智能自动化和决策支持也将在 API 安全解决方案中发挥越来越重要的作用——用于取证分析、决策支持、策略生成和其他应用。在 API 生命周期的另一端，解决方案侧重于“左移”，将安全性带入软件开发和设计的最早阶段，提供 API 测试和 API 规范分析等功能。尽早且经常地进行测试可使应用程序代码更能抵御攻击，这通常被认为是最佳实践，也是“安全设计”方法的重要组成部分。然而，仅仅靠左移并不能解决所有 API 安全挑战。对业务关键型 API 的一致、可靠的保护不仅必须延伸到 API 生命周期的每个其他阶段，还必须确保以整体、集成的体验提供这种覆盖。

图 3：现代 API 安全的范围

最终，我们不再将 API 管理和安全视为独立甚至相互排斥的主题。相反，最终目标是帮助组织在发布自己的 API 和使用第三方 API 时确定和部署能够满足其业务需求、安全风险和合规性挑战的解决方案。最后，对于制定 API 策略的公司来说，更重要的是了解当前的安全发展情况，保持敏捷和灵活，以便能够快速应对不断出现的新风险，并将新技术纳入其安全架构中。

大多数 API 管理平台都设计为松散耦合、灵活、可扩展且与环境无关，旨在为所有类型的 API 和其他服务提供一致的功能覆盖。虽然基于网关的部署模型仍然是最广泛的，但 API 网关可以部署在更靠近现有后端或 API 使用者的位置，但现代应用程序架构可能需要其他部署方案，例如微服务的服务网格。依赖于实时监控和分析的专用 API 安全解决方案可以在线部署，拦截 API 流量，也可以依赖于与 API 管理平台的带外通信。但是，管理控制台、开发人员门户、分析平台和许多其他组件通常部署在云中，以便在异构部署中实现单一视图。现在，越来越多的功能以软件即服务 (SaaS) 的形式提供，并采用基于消费的许可。简而言之，对于全面的 API 管理和安全架构，混合部署模型是唯一灵活且面向未来的选择。不过，对于高度敏感或受监管的环境，客户可能会选择完全本地部署。

我们正在寻找涵盖以下至少几个关键功能领域的解决方案，要么专注于更传统的 API管理，要么专注于保护现有 API（理想情况下，在单个集成平台中结合两种方法）。

API 设计和测试——这些功能涵盖 API 生命周期的最早阶段，例如 API 契约设计、现有 API 的转换或传统后端服务的现代化，以及创建和管理管理 API 性能、可用性和安全性的策略。

API 发现、分类和清单——如果没有所有企业 IT 环境（本地、云原生、混合、Kubernetes 等）中所有 API 的全面、准确和动态更新的清单，任何安全程序都将无法在整个 API 攻击面上提供一致的可见性、治理和保护。

微服务管理——传统 API 网关无法很好地适应现代分布式架构，必须借助现代服务管理功能进行增强，例如 Istio 服务网格，它提供可扩展至数百和数千个微服务的本机连接、监控和安全性。

开发人员和 CI/CD 工具——我们在此寻找的功能包括公开供使用的 API、提供文档和协作功能、引导和管理开发人员及其应用程序，以及集成到现代应用程序开发项目的现有持续交付管道中。 

身份和访问控制——支持多种身份类型、标准、协议和令牌，并提供灵活的动态访问控制，能够根据运行时上下文做出决策。这不仅适用于 API 本身，也适用于管理界面和开发人员工具。

API 漏洞管理——发现现有 API 并分析其是否符合 API 合同、安全最佳实践和公司政策是实现 API 安全的唯一真正主动的方法。通过业务风险评估对发现的漏洞进行智能优先级排序，可提高开发人员的工作效率和整体安全态势。

分析和安全情报——持续可见性和监控所有 API 交易和管理活动，不仅可以快速检测外部攻击，还可以快速检测基础设施变化、错误配置、内部威胁和其他可疑活动。

完整性和威胁防护——保护 API 和服务免受黑客攻击和其他威胁，需要采用多层方法来应对传输级攻击以及特定于消息传递协议和数据格式的漏洞。

强大的内部安全性——必须确保管理员和开发人员对管理控制台的访问安全，并在整个平台上实施基于角色的访问控制，并添加委派管理功能以实现可扩展性和分散性。建议对所有活动进行多因素身份验证和审计跟踪。

混合、多云部署——支持异构分布式环境（包括云、容器、微服务和无服务器平台），以便能够为整个企业 IT 提供一致的可视性、分析和保护，这是任何 API 安全解决方案的关键成功因素。

由于我们并不期望每个供应商都能独自提供完整的 API 管理和安全覆盖，因此与供应商的其他自有产品和现有第三方产品的无缝互操作性至关重要。我们重点关注与现有安全基础架构的集成，以跨多种类型的信息存储和应用程序提供整合的监控、分析、治理或合规性。

我们希望解决方案至少支持以下部分集成：

-流行的API管理平台、网关、服务网格等。

-用于集成到 DevOps/DevSecOps 流程的开发工具。

-用于身份管理和访问治理的 IAM/IAG 平台。

-用于统一监控和安全情报的 SIEM/XDR 平台。

-其他安全解决方案，如数据保护、DLP、WAF、Bot Defense 等。

当然，API 管理解决方案也需要提供自己的一套 API。