API 安全視覺化

全球 API 管理市場預計將從 2018 年的 12 億美元增長到 2023 年的 51 億美元，複合年增長率為 32.9%。其關鍵驅動因素包括對 API 主導連接的需求增加以及對公共和私有 API 的需求，以加速數位化轉型。
行業的三個重大轉變導致了這種驚人的增長：

• 消費者從單一設備使用轉向多設備使用
• 架構從整體設計轉向微服務
• 基礎設施從本地轉移到雲   

隨著行業的這些轉變，複雜性不斷增加，對 API 存取缺乏清晰的可見性，以及對 API 的新攻擊和更高級別攻擊方面的挑戰。 

在這篇文章中，我們將研究 Citrix Application and API Security。我們還將研究 Shadow API 可能給企業暴露出來的安全問題，以及 API 發現如何幫助消除與 Shadow API 相關的安全風險。

---

Citrix Application and API Security

Citrix Application and API Security 為您的 API 提供全面保護，以便您可以保護企業的應用程式和資料資產。由於我們的 API 安全性建立在 Citrix ADC之上，因此它提供了二十多年來積累的高水準的性能和安全性。

Citrix Application and API Security 前端 API 服務並充當閘道和單點以在 API 上實施安全性原則。Citrix Application and API Security 安全性與 Citrix 應用程式交付管理 (ADM) 結合使用，可深入瞭解 API 性能並説明您做出更明智的決策。API 閘道為 API 調用提供單一入口點，可説明您配置、管理和保護 API 端點。它可以執行速率限制、身份驗證和授權、內容路由以及其他任務，以確保通過您的 API 安全、可靠地存取後端服務。 您可以使用 Citrix ADM 來管理您的 API 閘道，Citrix API 安全性使用 Citrix ADM 中的機器學習來阻止網路攻擊，例如過度暴露資料 (OWASP API-3)和帳戶盜用等攻擊行為。

---

Shadow APIs and API Discovery

敏捷開發流程可説明軟體團隊快速對代碼進行較小的增量更改，而API 則使 DevOps 能夠通過持續交付新的應用程式和專注於加快創新步伐。但是，這種創新速度可能會造成孤島，尤其是在涉及多個團隊的組織中。

當這些 Shadow API 在企業的記錄發佈流程之外創建和/或部署時，同時規範不符合，或者當 API 的舊版本沒有正確停止使用時，它們可能會引入潛在的安全風險，從而導致資料丟失、欺詐或濫用。Shadow API 或已棄用的 API 可能不受企業正常安全性原則的約束，它們可能會在沒有安全監督的情況下傳輸敏感資訊或機密個人資料。自動 API discovery、排查和評估可消除 Shadow API 相關的安全風險。 

---

Citrix API Discovery and Analytics

Citrix Application and API Security 通過從 OAS 檔載入 API 定義來學習 API。OAS（OpenAPI 規範）是 Linux 基金會協作專案 OpenAPI Initiative 中的社區驅動的開放規範。OAS 為 REST API 定義了一個標準的、與程式設計語言無關的介面描述。
從 OAS 檔載入 API 的能力極大地加快了 Citrix API 安全功能的配置。使用 Citrix ADM 簡化和自動化了過去耗時的手動流程。它將接受來自 OAS 檔的新 API定義，並允許您配置 API 閘道策略，然後在幾分鐘內將它們部署到 Citrix ADC，使您能夠安全快速地部署新應用程式。 

按照以下步驟在 Citrix ADM 中創建 API 定義：
1、導航到應用程式 → API 閘道→ API 定義。
2、按一下添加。
3、要使用 API規範檔創建您的定義，請按一下“上傳 OAS 規範”以流覽並上傳 API 規範（Swagger 2.0 或 OpenAPI 3.0）。這將解析並自動填充創建 API 定義所需的資訊。
或者，您可以手動輸入所需的 API 資訊、所有資源路徑以及手動創建 API 定義的方法。選擇創建您的定義並指定以下必需的 API 資訊以手動創建您的
4、API 定義：Name – API 定義的名稱。
API Definition – 定義必須包括標題、版本、基本路徑和 host。您可以在 Host 中指定功能變數名稱或 IP 位址。
API Resources – 將多個 API 資源添加到您的定義中。每個資源都有一個路徑和支援的方法。

---

Citrix API Discovery

Citrix 的集成 API Discovery有助於使您的API 安全性更有效、更易於部署，並使所有 API 的自動化、集中化、視覺化變得容易。API  Discovery使您能夠創建所有 API 的清單目錄，並提供對 API使用情況和安全指標的參數監控。 

API Discovery標識REST/HTTP API 流量事件， 在Citrix ADC（API 安全/閘道）資料平面選定持續時間後，可以看到的相關API 流量。另外所有虛擬伺服器和API 部署中存在API traffic都會被展示。 

• 當您選擇特定的虛擬伺服器或API 部署時，您將獲得觀察到 API 流量的所有 API 端點和方法的清單視圖，其中包含以下資訊：
• Method – 這會顯示API 端點中使用的方法（例如，GET 和 POST 方法）。
• Total requests – 這顯示 API 端點上的 API 請求計數。
• Responsestatuses – 顯示每個回應狀態的計數（例如，2xx、3xx、4xx 和 5xx）。Found in Spec –此項僅針對 API 部署出現。有時，不屬於 API 定義的內部 API 可能會接收來自外部的流量。此項可幫助您確定 API 端點和觀察到的方法是否是 API定義的一部分。此列可幫助您識別已載入 API 定義中不存在的 API 資源和方法，從而幫助您發現影子 API 或未發佈的 API。在這裡，您應該檢查是否存在 Shadow API。分析 API 以確保它們符合您的規範，它們不會部署在記錄的發佈過程之外，並且沒有舊版本或生命週期結束的版本不正確顯示。如果您發現 ShadowAPI，則可以在導致資料丟失、欺詐和應用程式業務邏輯濫用之前對其進行處理。
• API deployments- 這會顯示使用 API 定義從 Citrix ADM 部署的 API。當 API 部署在指定時間段內收到 API 請求時，API 部署選項卡會發現 API Endpoint。API 部署的 Found in Spec 列可以幫助您發現 Shadow API 並及時緩解它們以防止安全威脅。

您還可以選擇所需的 API Endpoint 以查看其詳細的分析報告。詳細的分析報告提供 API Endpoint性能和使用資料，例如回應時間、頻寬消耗、訪問 API端點的地理位置以及 API 端點的 HTTP 回應狀態。API 分析支援對 API 流量的可見性，並允許 IT 管理員監控 API 閘道提供的 API實例和端點。