按預期受眾劃分的APIs類型

1. 公共APIs。也稱為外部或開放式APIs，可供開發人員和其他用戶使用，限制最小。
2. 合作伙伴APIs。它們不公開，也不由戰略業務合作伙伴提供，需要特定權限才能訪問它們。
3. 內部APIs。也稱為私有APIs，它們對外部用戶隱藏，僅向內部系統和內部開發團隊公開。
4. 復合APIs。復合APIs組合了多個數據或服務APIs。它們在微服務架構中很有用，在這種架構中，需要來自多個服務的信息來執行單個任務。

按協議劃分的APIs類型

1. REST.表示狀態傳輸（REST）體系結構是最流行的方法，它依賴于分離API前端和后端的客戶機/服務器方法，并在開發和實現中提供了相當大的靈活性。REST是無狀態的，這意味著API在請求之間不存儲數據或狀態。
2. RPC。遠程過程調用（RPC）協議是一種發送多個參數和接收結果的簡單方法。RPC APIs調用可執行的操作或進程，而REST APIs主要交換數據或資源，如文檔。
3. 肥皂。簡單對象訪問協議（SOAP）是由萬維網聯盟定義的消息傳遞標準，通常用于創建Web APIs，通常使用XML，盡管它支持多種通信協議。

上下文中的API安全性

API安全性位于以下三個方面的交叉點：

1. 信息安全涉及信息從創建到最終銷毀的整個生命周期的保護。
2. 網絡安全涉及保護網絡上的數據流，以及防止未經授權訪問網絡本身。
3. 應用程序安全確保軟件系統的設計和構建能夠抵御攻擊和濫用。

API安全：最重要的控制

1. 所有權和管理。每個API都應該有一個所有者或提供商，他們將通過適當的SLA定義和發布使用條款，以限制API的使用和使用方式，并根據定義和約定的SLA隨時修改API的實施。
2. 根據公司政策設計API。應制定一項關于API的政策，明確說明APIs與技術無關，這意味著它不應依賴于應用程序、編程語言和平臺。
3. 隱私和安全。API的設計應確保消費者數據的隱私，并啟用審計跟蹤以供審查。數據應該具有端到端的安全性，并且應該與網絡無關，以數據為中心。
4. API治理。APIs應按照既定的數字戰略開發，并應明確回答以下問題：
   • 取得了哪些業務成果？
   • 目標受眾是誰？
   • API的愿景是什么？它是否已經社會化了？
   • 我們是否建立了API架構和組件的重用？
   • API安全最佳實踐是否已激活？
   • 是否有有效的API生命周期管理？
   • APIs是否符合現行法律法規？
   • 是否定期對APIs進行漏洞評估和滲透測試，是否及時采取糾正措施？
5. 審計控制
   • 從源到目標的數據傳輸是否受到監控，如果發生故障，是否向管理員發出通知，是否記錄在審計跟蹤中？
   • 匿名APIs是否被禁止？
   • APIs上部署的用戶標識和密碼是否用于內部開發和培訓目的？
   • API密鑰身份驗證是否用于保護應用程序的身份驗證？
   • 數字證書是否用于所有B2B通信？
   • 是否為內部和外部生產APIs部署了OAuth2.0和安全令牌？

作者注：所表達的觀點是作者自己的觀點，不一定代表他所屬組織或認證機構的觀點。

原文鏈接: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/api-security-an-internal-auditors-quick-reference

#你可能也喜歡這些API文章!

快速提醒：用電子郵件發送短信獲取航天信息電子發票接口

DeepSeek R1 × 飛書多維表格賦能教育領域

API接口安全性設計，項目中該如何保證API接口安全?

免費測試Kimi，無需api key(秘鑰)

引爆排名秘訣！AI+SEO API助力網站優化

如何獲取Microsoft API Key 密鑰實現bing搜索分步指南

PyJWT：輕松搞定Token認證，讓你的API更安全！

什么是 REST API？

調用Leonardo.ai API 實現文生圖：小白上手指南