NIST：用于Cloud-Native系统的API保护指南（2025） 58页

这是美国国家标准与技术研究院（NIST）发布的关于云原生系统API保护指南，旨在为企业提供API安全部署的控制措施和保护建议。 1. **背景与目标**：现代企业IT系统依赖API进行集成，其安全部署至关重要。文档基于零信任原则，针对API开发生命周期的不同阶段，提供风险识别及应对措施。 2. **API风险**：涵盖可见性不足、授权缺失或不当、认证漏洞、资源无限制消耗、敏感信息泄露、输入数据验证不充分等。 3. **推荐控制措施** - **预运行时保护**：包括API规范制定、模式定义、治理框架建立等基础措施，以及请求响应验证、字段标注等进阶措施。 - **运行时保护**：以零信任原则为基础，实施加密、请求响应验证、身份认证与授权、资源使用限制、监控等措施。同样分基础和高级保护，高级保护包括字段级验证、授权过滤等。 4. **实施模式与权衡**：介绍集中式、混合式、分布式三种API网关模式及相关技术，分析各自在风险和运营成本上的优劣。分布式网关模式与零信任原则最契合。 5. **总结**：鉴于API在企业数字化中的关键作用及面临的风险，企业应依循零信任原则，参考文档建议的控制措施和实施模式，构建稳健且经济高效的API安全架构。