Kodėl ir kaip apsaugoti API baigtį?

Kaip jūs saugote savo API?


Tai yra skaitmeninės ekonomikos sprogimo amžius, o didžiulės duomenų apkrovos yra perduodamos per API. Verslas, žaidimai, švietimas, mokslas, menai. . . tu tai pavadinsi, viskas veikia API. Pasaulyje, kuris iš esmės priklauso nuo API, stebėtinai mažai dėmesio skiriama saugumui.

Kūrėjams pakanka numatytųjų jų rėmų; ar dar blogiau, kai jie nenaudojami jokie rėmai, jie mano, kad laikosi saugios praktikos. Sistemos administratoriams numatoma apsauga, kurią siūlo jų infrastruktūra ar paslaugų teikėjas.

Visai ne gražus reginys, jei manęs paprašysite.

Šaltinis: developer.ibm.com

Nereikia nė sakyti, kad pavojuje yra daug dalykų, kuriuos suprantame tik tada, kai kažkas atsitinka tikrai baisus atsitinka.

Bet visų pirma pirmiausia. ��

Kodėl reikia saugoti API galinius taškus?

Tai turi būti nesąžiningas asmuo, tiesa? Turime apsaugoti galinius taškus, nes, štai, nuo to priklauso verslas.

Nors tai yra pakankamai stiprus argumentas savaime, noriu šiek tiek praplėsti požiūrį ir išryškinti kitas susijusias, bet lygiai taip pat mirtinas pasekmes..

Verslo nuostoliai

Tai akivaizdu. Jei kam nors pavyks suklaidinti jūsų API galinius taškus, viskas sustabdys gėdingai. Saugumo pažeidimai taip pat gali užtrukti daug laiko, kad atsigautų, o tai verslo požiūriu reiškia savižudybę. Tiesa, kad daugumai verslo greičiausiai nepakenks valandos ar dviejų prastovos, kai kuriems tai nėra leistina.

Įsivaizduokite, kad valiutos keitykla keletą minučių neveikia!

Atitikties klausimai

Tinkamai neapsaugodami savo API, galite patirti rimtų problemų, atsižvelgiant į tai, su kuria geografine ar pramonės šaka susiduriate. Pvz., Jei aptarnaujate bankininkystės sektorių (ypač ES), išlaidos, susijusios su neapibrėžtų API naudojimą, sukels rimtų teisinių ir atitikties problemų. Tiek, kad tai gali net pasakyti jūsų verslo pabaigą.

Reputacijos praradimas

Įsilaužimas yra pakankamai skausmingas, tačiau, jei naujienos pasirodys viešumoje, jūsų prekės ženklo įvaizdis bus neatitaisomas. Pavyzdžiui, „Sony“ keletą kartų buvo labai blogai įsilaužta, o saugumo ratuose ši bendrovė yra pajuokos rūšių.

Net jei iš tikrųjų neprarandate nei duomenų, nei pinigų, pasisekite bandydami įtikinti savo pirkėjus. ��

Išpūstos infrastruktūros sąskaitos

Kai jūsų API veikia infrastruktūroje, ji sunaudoja išteklius (dažniausiai pralaidumą, procesorių ir atmintį). Pvz., Ten, kur API nėra tinkamai apsaugota, o kenksmingi pašaliniai asmenys gali su ja sąveikauti, jie gali priversti API atlikti daug nereikalingų darbų (pvz., Vykdyti sunkias duomenų bazių užklausas), kurie gali suaktyvinti jūsų sąskaitos dėl priežasčių.

Platformose, kuriose įjungtas automatinis išteklių mastelio keitimas (pvz., AWS), rezultatai gali būti šokiruojantys (ne tema, bet jei kada nors pagaunate tokią AWS sriubą, jie puikiai supranta situaciją ir nedelsdami atsisako pripūstos sąskaitos – bent jau nuo rašymo dienos!).

Komandos moralė

Taigi, galbūt jūs galvojate, kad komanda, leidžianti įvykti šiems kompromisams, praras moralę dėl jų? Na, ne visai. Gali būti, kad kompromisus lėmė silpnas infrastruktūros saugumas, kuris atbaidys kūrėjus ar atvirkščiai.

Jei tai įvyks pakankamai laiko, turėsite savo kultūrą, kuriai apgailestaujant leisite vystytis.

Konkurentų pelnas

Tarkime, kad buvo padaryta pažeidimų, tačiau nebuvo jokių faktinių nuostolių. Tačiau jūsų konkurentai pasinaudos šiuo įvykiu norėdami sutelkti savo API ir patvirtinti, kiek saugesni yra patys (net jei to nėra!). Dar kartą sėkmės bandant įtikinti rinką. ��

Apskritai saugumo pažeidimai turi ne tik pinigų praradimo pasekmių.

Geriausia patirtis užtikrinant API galinius taškus

Laimei, yra tam tikra lengvai įgyvendinama ir gerai suprantama praktika, kurią galite pritaikyti savo API galiniuose taškuose, kad juos apsaugotumėte. Štai ką rekomenduoja dauguma saugumo ekspertų.

HTTPS visada

Jei jūsų API galiniai parametrai leidžia API vartotojams kalbėtis per http ar kitus nesaugius protokolus, jūs rizikuojate jais. Slaptažodžius, slaptus raktus ir kredito kortelių informaciją galima lengvai pavogti žmogaus vidurio puolimas arba paketų naikinimo įrankis gali juos perskaityti kaip paprastą tekstą.

Taigi, visada padarykite vienintelį galimą https. Kad ir koks nesvarbus galutinis rezultatas atrodytų, prisijungimas per http net neturėtų būti pasirinkimas. TLS sertifikatas nekainuoja daug, galite nusipirkti nuo 20 USD SSL parduotuvė.

Vienos pusės maišos

Slaptažodžiai niekada neturėtų būti saugomi kaip paprastas tekstas, nes įvykus saugumo pažeidimui visos vartotojų sąskaitos bus pažeistos. Tuo pačiu metu reikia griežtai vengti simetrinio šifravimo, nes bet kuris išradingas ir atkaklus užpuolikas sugebės juos sulaužyti..

Vienintelė siūloma parinktis yra asimetriniai (arba „vienpusiai“) šifravimo algoritmai slaptažodžiams laikyti. Tokiu būdu nei užpuolikas, nei joks kūrėjas ar sistemos administratorius įmonėje negalės skaityti klientų slaptažodžių.

Stiprus autentifikavimas

Dabar beveik kiekvienoje API yra autentifikavimo forma, tačiau, mano manymu, „OAuth2“ sistema veikia geriausiai. Priešingai nei kiti autentifikavimo metodai, ji padalija jūsų sąskaitą į išteklius ir suteikia tik ribotą prieigą prie autentifikacijos ženklo nešiklio..

Tuo pačiu metu yra dar viena labai gera praktika, kad žetonai pasibaigtų kas, tarkime, 24 valandas, kad juos reikia atnaujinti. Tokiu būdu, net iš jūsų žetono nutekės, yra tikimybė, kad 24 valandų terminas sumažins pažeidimo poveikį.

Taikyti normą ribojančią

Jei neturite API, kurią milijonai žmonių naudoja kiekvieną minutę, labai gera idėja yra nustatyti limitą, kiek klientas gali skambinti į API per nurodytą laiko langą..

Tai daugiausia skirta atgrasyti robotams, kurie kiekvieną sekundę gali siųsti šimtus vienalaikių užklausų ir priversti jūsų API sunaudoti sistemos išteklius be jokios svarbios priežasties. Visose interneto svetainių kūrimo sistemose yra greitaeigė tarpinė programinė įranga (o jei ne, ją gana lengva pridėti per biblioteką), kurios nustatymas užtrunka maždaug minutę..

Patvirtinkite įvestį

Tai skamba kaip nesąžiningas, tačiau būsite nustebinti, kiek API patenka už tai. Įvesties patvirtinimas reiškia ne tik patikrinimą, ar gaunami duomenys yra tinkamo formato, bet ir tai, ar netikėtumų nėra. Paprastas pavyzdys yra SQL įpurškimas, kuris gali sunaikinti jūsų duomenų bazes, jei leidžiate užklausos eilutėms praeiti tikrinant arba visai nepatikrinant.

Kitas pavyzdys – patvirtinti POST užklausos dydį ir grąžinti klientui tinkamą klaidos kodą ir pranešimą. Bandymas priimti ir išanalizuoti juokingai didelius duomenis bus naudingas tik susprogdinant API.

Vykdykite IP adresų filtravimą, jei taikoma

Jei naudojatės B2B paslaugomis ir jūsų API naudoja įmonės iš nustatytų vietų, apsvarstykite galimybę pridėti papildomą saugos sluoksnį, ribojantį IP adresą, galintį pasiekti jūsų API. Kiekvienos naujos vietos ir naujų klientų IP adresą reikės patikrinti atsižvelgiant į gaunamą užklausą.

Taip, tai sukelia nepatogumų dėl borto, tačiau galutinis rezultatas yra daug griežtesnis saugumas, nei galima pasiekti kitu atveju.

API apsaugos gerinimo įrankiai

Ar yra įrankių, galinčių padėti nuskaityti pažeidžiamumą, ar dar geriau, siūlant pirmąją gynybos liniją, kai reikia apsaugoti API?

Laimei, taip. Galite naudoti kelis įrankius, tačiau reikia būti atsargiems, kad dienos pabaigoje jokia saugumo strategija nėra tobula. Tai pasakius, šie įrankiai gali daugkart padidinti jūsų API apsaugą, todėl jie yra rekomenduojami.

Metasploitas

Metasploitas yra ypač populiari atvirojo kodo sistema, skirta internetinių programų ir API skverbties tikrinimui. Jis gali nuskaityti jūsų API keliais skirtingais parametrais ir atlikti išsamų saugos auditą, kad nustatytų skirtingus pažeidžiamumo lygius.

Pavyzdžiui, „Metasploit“ atliktas saugos patikrinimas gali pasakyti, ar jūsų API parašai atiduoda pagrindines technologijas ir operacinę sistemą, ar ne; tai dažnai būna pusė laimėjimo, pasiekto dėl API saugumo.

Nors paprastai pakanka atvirojo kodo pagrindų, „Metasploit“ viršuje yra puikių mokamų produktų, į kuriuos verta atkreipti dėmesį. Pro planas yra puikus, jei norite aukščiausios kokybės palaikymo, ir bus nuodugniai naudojasi sistema, tačiau paprastai tai nėra būtina, jei jūsų komanda yra pakankamai patyrusi..

Debesuota

Ne tik CDN, bet Debesuota siūlo daugybę saugos funkcijų, tokių kaip WAF, greičio ribojimą, DDoS apsaugą, kurios bus būtinos norint apsaugoti jūsų API nuo internetinių grėsmių.

„Netsparker“

„Netsparker“ ateina su „įrodymais pagrįsto nuskaitymo“ USP. Kalbant paprasčiau, dažnai gali būti, kad netaisyklingos tinklo sąlygos ar kai kurie mažiau žinomi API veiksmai yra suprantami kaip saugos spragos, kurios vėliau nustatomos kaip klaidingos.

Tai eikvoja išteklius, nes visus praneštus pažeidžiamumus reikia dar kartą nuskaityti rankiniu būdu, kad būtų patvirtinta, kad jie nėra klaidingi teigiami duomenys. „Netsparker“ sako, kad įrankis gali pateikti pakankamai tvirtą ataskaitų koncepcijos įrodymą, pašalindamas abejones dėl rastų silpnų nuorodų.

Su tokiomis įmonėmis kaip „Sony“, „Religare“, „Coca-Cola“, „Huawei“ ir tt, esančiose jų klientų sąraše, galite būti tikri, kad šie žmonės daro ką nors teisingo. �� Beje, jie taip pat turi neįtikėtiną interneto saugumo tinklaraštis kad turėtum sekti.

„SoapUI Pro“

Sukūrė „SmartBear“, „SoapUI Pro“ yra intuityvus ir paprastas būdas sukurti API testus ir gauti tikslias, duomenų pagrįstas ataskaitas apie juos. Jis taip pat tvarkingai integruojamas su jūsų CI / CD dujotiekiu, užtikrinant, kad jokie nauji kodo papildymai nepakenktų jūsų API saugumui..

„SoapUI“ gali dirbti su „Swagger“, OAS ir kitais populiariais API standartais, žymiai sutrumpindamas laiko pradžią. Tokių klientų, kaip „Microsoft“, „Cisco“, „MasterCard“, „Oracle“ ir kt., Planai nuo 659 USD per metus yra vertas įrankis saugesnėms API.

Pasitikėjimo banga

Pasitikėjimo banga yra sprendimų rinkinys, orientuotas į saugumo nuskaitymą ir grūdinimą. Vienas iš unikalių šios paslaugos dalykų yra tai, kad ji ne tik tiksliai nustato API grėsmę, bet ir padeda suprasti, kaip jas pašalinti..

„Trustwave“ atlieka tai, ką vadina kontekstiniu nuskaitymu, tai reiškia, kad aptikus pagrindinę operacinę sistemą ar infrastruktūrą, tarnyba atlieka daugybę susijusių patikrinimų, norėdama įsitikinti, kad nėra su šia platforma susijusių nemalonių saugumo skylių..

Jie taip pat gali pasigirti stipria saugumo tyrėjų komanda, nuolat tobulinančia paslaugų galimybes. Jei esate didelis dėl atitikimo, „Trustwave“ yra geras sprendimas.

Jei gyvenate pagal skaičius ir norite mėgautis tokiomis funkcijomis kaip atsakymas į grėsmę, vieną kartą spustelėjus pakartotinį testų atlikimą po pataisų ir panašiai, daugiau nežiūrėkite!

Yra netrūksta rinkoje esančių API saugumo priemonių, nesvarbu, ar tai atvirojo kodo, nemokama ar komercinė, ar bet koks jų derinys. Nesivaržykite ištirti daugiau ir, jei rasite ką nors dar geresnio, parašykite komentaruose ir mielai įtrauksiu! ��

ŽENKLAI:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map