当前 API 安全产品现状

API 安全产品面向的用户主要分为以下两类。

• 技术型管理者：在有些公司，其内部已有大量技术人员并有能力来管理、定义、开发、配置 API，需要引进 API 安全管理理念、技术、工具、平台来实施先进的 API 管理，其需要的 API 安全产品通常包含 API 安全开发工具、API 安全测试工具、API 管理平台、API 网关、API 安全防护等不同类型的产品。

• 非技术型管理者：这些企业通常以业务为中心，采用 API 设计来寻找商机，企业本身对 API 技术了解不多，需要借助外部资源帮助其构建 API 经济，其 API 安全产品需求相对比较单一，更多的偏向于 API 管理平台、API 网关和 API 安全防护类产品。

无论是哪种类型的终端用户，都会有 API 管理平台、API 网关和 API 安全防护类产品的诉求，这也是当前 API 安全产品市场上 API 管理平台或 API 网关占比最多的一个主要原因。目前市场上，API 管理平台或 API 网关产品主要可分为公有云产品、2B 交付商业化产品、开源产品三种。

1. 公有云产品主要有以下几种。

• Amazon API 网关。

• Google Apigee API 网关。

• Microsoft Azure API 管理平台。

• 阿里云 API 网关。

• 腾讯云 API 网关。

2. 2B 交付商业化产品主要有以下几种。

• IBM API 网关。

• Kong API 网关企业版。

• Salesforce MuleSoft API 网关。

• NGINX Plus 网关。

• Red Hat 3scale API 网关。

• WSO2 API 管理平台。

3. 开源产品主要有以下几种。

• Kong API 网关。

• Netflix Zuul 网关。

• Ambassador API 网关。

从这些产品可以看出，目前市场上参与 API 安全市场竞争的既有 Google、Amazon、Microsoft、IBM 这样的 Top 企业产品，也有 Kong、NGINX、WSO2 这样小而美的解决方案。在这些产品中，公有云厂商建设 API 网关产品以自用和服务云上用户为主，而 2B 销售的厂商才是影响 API 网关或管理平台类产品市场资源投入的主力军。当客户在购买此类产品时，可以从 IAM、安全运营能力（流量监控、威胁防护、数据安全等）、DevSecOps 融合、购买费用与许可协议等方面对产品进行打分，综合衡量 API 网关产品与当前业务需求的契合度，以最优的性价比选择合适的产品。

除了 API 网关或管理平台产品外，还有一部分厂商在做着与 API 上下游相关联的产品，比如主要做 API 测试类工具产品 Postman 和 SoapUI，做 OpenAPI 的规范的 SmartBear 公司。

API 安全防护类产品，以新型的互联网安全企业和传统的安全厂商产品转型进入 API 安全领域为主，比如 Akamai 在 23018 年开始在 WAF 防护能力中谈论 API 的安全防护，并于 2020 年 4 月期间单独做了 API 安全专题。WAF 厂商 Imperva 的 Imperva SecureSphere WAF 产品中专属的 JSON 结构和 API 组件，“可动态地了解应用程序的行为，立体式保护 API 安全”。API 安全市场似乎是尚未成型的蓝海，但各大厂商已悄然进入，通过产品自建和并购，争着要分一杯羹。

API 管理平台或 API 网关类产品仅仅是 API 安全产品的一个起点，是基于当前市场环境和 API 技术形态切入的 API 产品形态中的一种，并不是唯一的安全解决方案，想通过单一的 API 网关或 API 管理平台类产品解决 API 安全的所有问题是不切实际的。