主要观点：API 已成为新的战场，传统 perimeter 安全对待 API 像事后考虑，已过时，现代应用分布式且 API 流量占比大幅提升，需采用零信任（Zero Trust）架构。
关键信息：

• 企业常被 API 攻击，如支付处理器、SaaS 平台等受损，传统安全模式失效。
• 常见网关安全问题，如内部流量未加密、服务间未认证等。
• 零信任假设网络已被入侵，需对每请求进行认证、授权和加密。
• 核心原则包括身份优先安全、最小特权访问等。
• Istio + OPA 技术实现，如自动 mTLS、OPA 规则化安全策略等。
• 案例如 Intuit 实施零信任架构取得显著成果。
  重要细节：
• Akamai 报告显示 API 流量占比上升。
• 2023 OWASP API 安全十大问题及常见漏洞。
• Istio 的 Pilot 组件管理证书，OPA 可定义并执行安全策略。
• JWT 解决分布式认证问题，结合 Istio 减少授权尝试。
• 结合 Istio 和 Prometheus 进行威胁检测。
• 实施零信任的步骤及组织要求。
• 提供多个相关参考资料。