API的安全性不能仅仅作为下一代Web应用防火墙的附加组件。

需要注意的是，现代化的应用程序通常不再是简单的网页，而是通过API提供服务和功能。因此，保护API的安全性成为至关重要的任务。

传统的Web应用防火墙（WAF）主要是用于保护Web应用程序，但其对API的保护能力有限。只依靠WAF来保护API的安全性是不够的。

API的安全性需要通过多个层面的保护来实现。这包括对API进行认证和授权，对传输数据进行加密，对API进行访问控制，检测和防止恶意攻击等。

另外，开发人员在设计和开发API时也需要重视安全性。他们应该遵循最佳实践，使用安全协议和技术，对API进行严格的安全测试等。

综上所述，API的安全性不能仅依靠下一代WAF作为附加组件，而应该采取综合的安全策略和措施，确保API及其相关的应用程序的安全性。

WAAP（Web应用和API保护平台）是一种下一代WAF，旨在超越传统WAF基于签名的攻击防护方式，并为用户提供额外的API保护功能。该平台集成了最新的安全技术，可以防止各种网络攻击，并提供多种API保护功能，确保Web应用程序和API的安全性。

从根本上来说，WAAP是一种更高级的WAF解决方案。那么，如果企业采用了WAAP，是否还需要部署专门的API安全产品呢？

WAAP方案中集成的API防护功能能够满足企业对整体API安全防护策略的需求吗？

目前，WAAP方案主要涵盖了API安全的几个方面，包括API文档支持、模式分析与验证以及API资产发现。这些能力对于保护API应用免受一系列预先设置的攻击（如SQL注入、代码执行和DDoS攻击）非常重要。然而，需要指出的是，当前的WAAP方案只能部分解决API安全威胁，因为每个API应用都有各自的底层业务逻辑和功能。为了防止API被滥用，企业需全面了解其应用流量的变化，而这是WAF或其衍生产品WAAP无法实现的。

随着现代企业组织API应用的不断增加，仅依赖WAF或WAAP的防御措施已经无法应对日益复杂和多样化的API攻击威胁。WAAP是传统WAF方案的改进版本，它增加了特定的API保护功能。然而，如果企业组织想要全面了解所有API安全威胁，仅仅依靠WAAP方案的API防护能力是远远不够的。

API攻击的方式与传统的应用程序攻击有很大不同。随着企业组织数字化转型的深入发展，其业务系统上的API应用数量也在不断激增，改变和扩大了组织的攻击面。由于每个API应用都有自己独特的业务逻辑，所以每次API攻击都是唯一性的，攻击者会做大量的探测来发现可以利用的API漏洞。这种侦察活动可能需要几天、几周甚至几个月的执行时间。如果不借助适当的上下文信息检测，攻击者可以很轻松地在整个攻击生命周期中隐藏或伪装他们的攻击行为。

就API安全防护而言，组织需要深入和广泛的上下文分析来发现潜在的威胁，仅仅依靠WAAP来提供运行时保护会使API应用存在几个关键的安全隐患。具体来说，WAAP通常缺乏上下文和智能驱动的能力，因此难以实现以下防护能力：

01.WAAP无法实时监控持续时间较长的API攻击。

API攻击的生命周期一般较长，因为攻击者需要不断地对API进行探测，以发现可利用的漏洞。由于WAAP方案无法观察长期业务活动，因此无法发现攻击者对API持续性侦察活动。为了保护API及其传输的敏感数据，企业不能仅在攻击危害发生后被动应对。即使没有完整的API攻击细节，企业也应通过分析合适的API应用环境，尽早识别出攻击行为。

02.WAAP无法检测到API异常行为。

除了随时间建立的可见性，API安全解决方案还必须能够精确识别与API攻击活动相关的异常行为，包括扩展侦察活动、API滥用以及业务逻辑操纵攻击。许多API应用都在假设存在业务逻辑缺陷和滥用可能性的情况下运行。这是因为企业知道，在开发和测试周期中识别和清除所有的业务逻辑缺陷和漏洞是非常困难的。因此，准确识别行为异常和用户意图的能力是API安全策略中最关键的部分。API攻击是基于一系列活动的行为攻击，高级API安全解决方案可以判断生态系统中什么代表“正常”行为，什么代表可能潜在威胁的“异常”行为。而WAAP方案更善于寻找已知的攻击模式，由于缺乏行为上下文，WAAP无法可靠地区分“普通”和“异常”的API行为，从而触发危险信号。

03.WAAP缺乏自主学习的能力。

基于人工智能的安全解决方案的最大特点在于能够主动从各种安全问题中进行学习。利用这种学习能力在安全系统中可以更准确地检测问题并采取更有效的响应措施。通过利用云级大数据的力量，在一个客户的环境中进行学习，不仅可以丰富算法，还可以使其他客户受益，因为学习能力的提升呈指数级增长。然而，可惜的是，现有的WAAP方案目前还缺乏这种主动学习的能力。

04.WAAP无法识别用户的意图。

云级、成熟的AI和ML模型可以分析大量的数据和流量，在大量的结构和行为属性中搜索签名和模式。但这并非WAAP所能做的事情。由于API经常被滥用，即便人们完全按照设计使用它们。如果攻击者出于恶意目的窃取并使用合法访问凭证针对特权API，WAAP通常无法发现攻击者未经授权的访问及其伪装攻击。如果没有用户行为的上下文，这些访问行为对于WAAP的检测机制来说都是合法的。因为WAAP不能在应用程序堆栈的不同应用层之间提供完整可见性，所以它们不能信息关联发现潜在的威胁。

不能否认，WAAP比WAF更先进，并且在企业的完善API安全防护体系中扮演着重要角色，但它并不是解决API安全问题的全面解决方案。

WAAP方案很难具备深度和广度的可见性，以及智能并随时间变化的上下文分析能力，来防御不断演变的API攻击。仅仅依靠WAAP来保护API安全将会留下大量的安全盲点，将组织置于危险之中。为了全面保护企业的API生态系统，除了应用WAAP之外，组织还需要适当的API安全运行时保护措施。

随着应用程序和业务的不断发展，API已经成为现代应用程序的关键部分，而API的安全性需要采用独立的解决方案来进行保护。

以下列举了几个原因：

1.API保护的需求与WAF不同：尽管WAF主要用于保护Web应用程序免受攻击，但API保护的需求与Web应用程序存在差异。API涉及不同的访问模式、协议和数据传输方式，需要针对API保护的专属解决方案来确保安全性。

2.API的安全性需要进行前置保护：与Web应用程序不同，API通常直接在客户端和服务器之间进行通信，因此在API请求到达服务器之前需要进行前置保护措施。这意味着需要在API请求到达服务器之前对其进行身份验证、访问控制和数据验证等操作，以确保安全性。

3.API安全性需要精细控制：保护API需要进行精细的控制和策略定义，以便根据应用程序的需求和业务规则对API请求进行筛选和拒绝。实现这种精细控制通常需要专门的API保护解决方案。

4.为了保证全面的安全性，API保护解决方案需要与已有的安全解决方案（比如身份验证、访问控制和日志记录等）进行集成。这样可以提供一致的安全策略和协同工作，从而减少攻击风险。

为了确保API的安全性，需要考虑采用专门的API保护解决方案，而不仅仅依赖于下一代WAF上的附加组件。这类解决方案应具备前置保护、细粒度控制和与现有安全解决方案的集成功能，以确保API的安全性和可靠性。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。