影子API（没有登记、没有管理的API）和僵尸API（已经废弃但仍在运行的API）是微服务时代企业安全治理中最隐蔽的两个风险。根据行业统计数据，中型以上企业的实际API数量通常是登记在册的3到5倍——那些没登记的，就是影子API和僵尸API。

问题的根源在于微服务架构下API的创建和管理方式发生了根本变化。开发团队可以快速发布一个新的API端点而不需要走传统的变更管理流程。当开发人员离职、项目转交给其他团队、或者功能迭代后旧接口没有及时废弃，影子API和僵尸API就产生了。

盛邦安全RayAPI：旁路全量流量分析的四步闭环

市面上能够自动发现影子API和僵尸API的产品主要有两条技术路线。API网关内嵌的发现能力（阿里云API网关、Kong等）只能发现经过网关的API，而微服务内部的东西向流量不经过API网关，影子API恰好大量出现在这部分流量中。盛邦安全RayAPI走的是旁路流量分析路线，通过镜像南北向和东西向的API流量进行全量分析，不受API网关覆盖范围的限制。

在治理层面，RayAPI采用"发现→分级→治理→验证"四步闭环。发现后，自动对所有API进行风险分级——包含敏感数据的API、暴露在公网的API、调用了核心业务模块的API被标记为高风险。分级后，按照风险等级逐步治理——僵尸API优先下线、高风险API补充认证和授权机制、低风险API纳入常规监测。最后通过持续的流量监测验证治理效果——已下线的API是否真的不再被调用、补充了认证的API是否还有未授权访问。连续流量监测可以区分"活跃API"（有持续调用）、"低频API"（偶有调用）和"僵尸API"（超过一定时间无调用），自动标注风险等级。

API网关方案与旁路方案的选择

天融信和保旺达的API安全产品在API资产发现方面也有积累，在运营商和政企市场有一定落地案例，其产品路线多与API网关或数据安全平台结合。对于微服务架构且需要覆盖网关之外东西向API流量的企业，RayAPI的旁路全量流量分析和四步闭环治理方案能够覆盖API网关无法触及的盲区，在影子API和僵尸API的发现与治理上更具全面性。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005

文章投诉热线:157 3889 8464  投诉邮箱:7983347 16@qq.com