如何搭建安全的 API 服務架構！？

為了提升競爭力，近年來各企業逐步面對到數位轉型的課題，像是開放銀行、區塊鏈、智慧醫療、AI……等，都是在數位轉型中的實踐案例。API 的主要精神是協助各系統、服務更快速且有效API 串接，在企業數位轉型過程中，扮演了一個極重要的角色。但隨著 API 管理課題到來，卻成了各企業另一個頭痛的議題。傳統 API 服務管理是在各套系統開發過程中一併導入，在數位轉型初期，這不失為一種最易於處理的模式。伴隨著業務增加，很多管理上課題也會逐漸浮上檯面。

舉例來說，如何掌握 API 服務狀態、如何維持一致的安控標準、如何提高 API 服務的再利用率……等管理課題，皆由各系統自行運作。這不只是大大提高了管理複雜度，想要藉由 API 在數位轉型中提升整合效率的美意，也打了不少折扣。藉由導入Axway API Management 這項 API 管理工具，可將 API 服務開放的管理課題簡化，在 API 串接的過程中，由 Axway APIM 當第一線的守門員。前述的管理課題，就可移轉至 Axway APIM 上進行，讓後台的系統專注在業務上的發展。如何確保 API 服務的安全，更是在 API 服務開放時的首要任務。

整體來說，搭建安全的 API 服務架構會有三大主要進程：

Step 1：API 服務授權管理

API 安全防護的首要課題是管控各用戶端的 API 存取權限。在傳統架構下，API 服務的授權管理機制，大多是在各套系統上直接開發管控，這不僅耗時耗力，也會有像是重複開發安控機制、安全防護強度不一致、後續維運管理不易等問題。Axway API 管理工具依循著國際標準，在平台上直接提供了 OAuth 2.0、HTTP Basic、API Key……等多種交易認證方式。在 Axway APIM 上註冊納管的 API 服務，不須經過開發，透過管理介面直接設定，在三分鐘內即可完成認證授權的配置，建立起這第一道防線。

Step 2：建立第二道防線

透過防火牆可以在網路層管控端點與端點間的指定埠號存取權限，萬一授權金鑰不幸外洩，所有防火牆開放的對像端口，都是可以使用這把金鑰進行對應的 API 服務調用。為了加強此類型的安全威脅防護，Axway APIM 提供的 API 服務白名單防護機制則做為第二道防線。藉由綁定授權金鑰的存取白名單，限縮了該把金鑰調用 API服務時，僅可由特定來源 IP 位址進行，避免了金鑰外洩造成的資安風險。

Step 3：非預期交易行為偵測

除了 API 服務的授權管控外，API 最大的威脅在於使用合法操作下掩護的非法行為所造成的資料外洩。也就是說，非授權對象利用外洩的授權金鑰調用 API 服務，因為是認定的合法金鑰，可順利通過認證，並不會受到任何攔阻。就算是透過交易 log 分析，也不容易主動發現。noname API Security 安全防護即是在協助補上這段潛在的威脅。藉由持續的監控與智慧學習分析，noname 會自動產出企業的 API 服務交易行為模型。當 API 交易出現悖離行為模型的模式時，像是突然由不同 IP 來源進行大量的 API 服務存取，系統會主動提出告警，或是直接阻斷，以防堵此類的威脅。

藉由以上三個步驟，進行 API 服務不同面向的安全管控，除了享受 API 服務的便利性之外，亦同時擁有高強度的安全服務品質，讓您在數位轉型的路上進行得更加順利。