Google Cloud Next 发布阴影API检测功能

在Google Cloud Next大会上，Google宣布了在Apigee API管理解决方案中的高级API安全性（Advanced API Security）功能中推出阴影API（Shadow API）检测的预览版。Apigee是一个托管的API代理服务，允许用户设计、保护、部署、监控和分析API。

阴影API的定义与风险

阴影API是指那些不受公司控制，但被开发者使用的API，通常用于节省时间、减少对其他团队的依赖或填补现有API的空白。尽管开发者可能出于好意，但这些未受监管的API可能会在组织的软件环境中带来严重的安全漏洞。

高级API安全性的功能

Apigee的高级API安全功能能够主动识别配置错误的API，并检测恶意机器人和业务逻辑攻击。此前，这种保护仅适用于主动管理的API。现在，通过高级API安全性中的阴影API发现功能，用户可以消除难以发现的盲点，并关闭安全漏洞。

与Google Cloud负载均衡器的集成

Google最近将高级API安全性与Google Cloud区域外部应用负载均衡器集成。这种集成允许精确识别特定区域内的API流量，有助于确保合规性和满足性能要求。通过分析负载均衡器中的请求和响应，该功能可以提取关键的API详细信息，如端点、平台、协议、参数和响应。这些信息通过提供的用户界面，提供了对API操作、活动和最近更新的深入洞察。

与其他云服务提供商的比较

其他云服务提供商如AWS和Microsoft也提供类似于Apigee API管理的服务和相关功能：

• AWS API网关与AWS Web应用程序防火墙（WAF）集成，可以提供类似的安全级别，保护免受未经授权和恶意的API请求。尽管它本身没有“阴影API检测”功能，但其WAF与AWS CloudWatch和AWS X-Ray的详细日志记录和监控结合，可以间接帮助识别和管理阴影API。
• Azure API管理服务包括网关级威胁保护，可用于识别可能涉及阴影API的恶意活动。它还提供详细的分析和日志记录，有助于追踪未记录的API。

阴影API的业务风险

Google Apigee企业销售总监Dan Mearls在LinkedIn上提到，阴影API由于缺乏强大的安全措施（如认证和授权协议）而带来重大的业务风险。这使得它们成为黑客的易攻击目标，增加了数据泄露和敏感信息泄漏的可能性。此外，阴影API可能会绕过已建立的数据处理协议，可能导致违反GDPR或CCPA等数据隐私法规，从而带来巨额罚款并严重损害组织的声誉。

文档与更多信息

有关高级API安全性的更多详细信息，请参阅入门文档。