เหตุใด API ของ Secure API จึงปลอดภัย?

คุณรักษาความปลอดภัยให้กับ API ของคุณอย่างไร?


นับเป็นยุคแห่งการระเบิดของเศรษฐกิจดิจิทัลและมีการโหลดข้อมูลจำนวนมากผ่าน API ประกอบกิจการเล่นเกมการศึกษาวิทยาศาสตร์ศิลปะ . . คุณตั้งชื่อมันทุกอย่างทำงานได้กับ API สำหรับโลกที่พึ่งพา API โดยพื้นฐานแล้วจะมีการมุ่งเน้นด้านความปลอดภัยเล็กน้อยอย่างน่าประหลาดใจ.

สำหรับนักพัฒนาค่าเริ่มต้นของกรอบงานของพวกเขาก็เพียงพอแล้ว หรือแย่กว่านั้นเมื่อไม่มีการใช้กรอบงานพวกเขาคิดว่าพวกเขากำลังปฏิบัติตามแนวทางปฏิบัติที่ปลอดภัย สำหรับผู้ดูแลระบบความปลอดภัยเริ่มต้นที่เสนอโดยโครงสร้างพื้นฐานหรือผู้ให้บริการของพวกเขาคือสิ่งที่พวกเขาพึ่งพา.

ไม่ใช่สายตาที่น่ารักเลยถ้าคุณถามฉัน.

ที่มา: developer.ibm.com

จำเป็นต้องพูดมีเดิมพันมากมายที่เราตระหนักได้เมื่อมีบางสิ่งเท่านั้น น่ากลัวอย่างแท้จริง ที่เกิดขึ้น.

แต่สิ่งแรกก่อน ��

เหตุใดปลายทาง API ที่ปลอดภัย?

นี่ต้องไม่ใช่เกมง่ายๆใช่มั้ย เราจำเป็นต้องรักษาความปลอดภัยจุดปลายเพราะนั่นคือสิ่งที่ธุรกิจขึ้นอยู่กับ.

ในขณะที่ข้อโต้แย้งที่แข็งแกร่งเพียงพอในตัวเองฉันต้องการขยายมุมมองให้กว้างขึ้นและไฮไลต์สิ่งที่เกี่ยวข้องอื่น ๆ แต่ผลลัพธ์ที่ร้ายแรง.

การสูญเสียทางธุรกิจ

นี่คือสิ่งที่ชัดเจน หากใครบางคนประสบความสำเร็จในการยุ่งกับจุดสิ้นสุด API ของคุณมันจะทำให้ทุกอย่างหยุดชะงัก การละเมิดความปลอดภัยยังอาจใช้เวลานานในการกู้คืนซึ่งหมายถึงการฆ่าตัวตายในแง่ธุรกิจ แม้ว่าจะเป็นเรื่องจริงที่ธุรกิจส่วนใหญ่อาจไม่ได้รับผลกระทบจากการหยุดทำงานหนึ่งหรือสองชั่วโมง แต่บางธุรกิจก็ไม่ได้รับอนุญาต.

ลองนึกภาพการแลกเปลี่ยนสกุลเงินลงสักครู่!

ปัญหาการปฏิบัติตาม

การไม่รักษาความปลอดภัย API ของคุณอย่างถูกต้องอาจทำให้คุณตกอยู่ในปัญหาร้ายแรงทั้งนี้ขึ้นอยู่กับภูมิภาคหรืออุตสาหกรรมที่คุณกำลังติดต่อด้วย ตัวอย่างเช่นหากคุณให้บริการกับอุตสาหกรรมธนาคาร (ในสหภาพยุโรปโดยเฉพาะ) ค่าใช้จ่ายที่ถูกค้นพบการให้บริการด้วย API ที่ไม่ปลอดภัยจะส่งผลให้เกิดปัญหาทางกฎหมายและการปฏิบัติตามกฎระเบียบอย่างมาก มากจนอาจสะกดจุดจบของธุรกิจคุณ.

การสูญเสียชื่อเสียง

การถูกแฮ็กนั้นมีความเจ็บปวดมากพอในตัวเอง แต่ถ้าข่าวออกสู่สาธารณะจะมีการสูญเสียภาพลักษณ์ตราสินค้าของคุณไปไม่ได้ ยกตัวอย่างเช่น Sony ถูกแฮ็กอย่างหนักสองสามครั้งในตอนนี้และในแวดวงความปลอดภัย บริษัท ก็เป็นเช่นนั้น หุ้นหัวเราะ แปลก ๆ.

แม้ว่าจะไม่มีการสูญหายของข้อมูลหรือเงินจริง แต่ก็โชคดีที่พยายามโน้มน้าวให้ลูกค้าของคุณวิ่งหนี ��

ตั๋วเงินโครงสร้างพื้นฐานที่สูงขึ้น

เมื่อ API ของคุณทำงานบนโครงสร้างพื้นฐานจะใช้ทรัพยากร (แบนด์วิดท์ CPU และหน่วยความจำส่วนใหญ่) ตัวอย่างเช่นที่ API ไม่ปลอดภัยอย่างถูกต้องและบุคคลภายนอกที่เป็นอันตรายสามารถโต้ตอบกับมันเป็นไปได้ที่พวกเขาจะบังคับให้ API ทำงานอย่างไร้จุดหมายมากมาย (เช่นการสืบค้นฐานข้อมูลจำนวนมาก) ซึ่งสามารถยิงได้ ค่าของคุณด้วยเหตุผล.

บนแพลตฟอร์มที่เปิดใช้งานการปรับขนาดทรัพยากรอัตโนมัติ (เช่น AWS) ผลลัพธ์อาจตกตะลึง (นอกหัวข้อ แต่ถ้าคุณเคยติดอยู่ในซุปแบบนี้ใน AWS พวกเขาค่อนข้างเข้าใจสถานการณ์และสละตำแหน่งทันที ใบเรียกเก็บเงินที่สูงเกินจริง – ณ วันที่เขียนอย่างน้อย!).

ขวัญกำลังใจของทีม

ดังนั้นคุณอาจกำลังคิดว่าทีมที่ปล่อยให้สิ่งเหล่านี้เกิดขึ้นจะทำให้ขวัญเสีย ก็ไม่มาก เป็นไปได้ว่าการประนีประนอมนั้นเกิดจากการรักษาความปลอดภัยของโครงสร้างพื้นฐานที่อ่อนแอซึ่งจะทำให้นักพัฒนาซอฟต์แวร์หรือในทางกลับกันเสื่อมเสีย.

หากสิ่งนี้เกิดขึ้นมีเวลามากพอคุณจะมีวัฒนธรรมในมือของคุณซึ่งคุณจะเสียใจที่ต้องปล่อยให้มีการพัฒนา.

ผลกำไรของคู่แข่ง

ดังนั้นสมมติว่ามีการฝ่าฝืน แต่ไม่มีการสูญเสียจริง อย่างไรก็ตามคู่แข่งของคุณจะใช้เหตุการณ์นี้ในการเผยแพร่ API ของตนเองและยืนยันว่ามีความปลอดภัยมากเพียงใด (แม้ว่าจะไม่ใช่!) โชคดีอีกครั้งที่พยายามโน้มน้าวใจตลาด ��

สรุปแล้วมีผลต่อการละเมิดความปลอดภัยที่เกินกว่าจะเสียเงิน.

แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยจุดสิ้นสุด API

โชคดีที่มีวิธีปฏิบัติที่ใช้งานง่ายและเข้าใจดีซึ่งคุณสามารถนำไปใช้กับจุดสิ้นสุด API ของคุณเพื่อความปลอดภัย นี่คือสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำ.

HTTPS เสมอ

หากปลายทาง API ของคุณอนุญาตให้ผู้ใช้ API คุยกับ http หรือโปรโตคอลที่ไม่ปลอดภัยอื่น ๆ คุณจะต้องตกอยู่ในความเสี่ยง รหัสผ่านคีย์ลับและข้อมูลบัตรเครดิตสามารถถูกขโมยได้อย่างง่ายดาย การโจมตีคนที่อยู่ตรงกลาง หรือเครื่องมือดมกลิ่นแพ็คเก็ตสามารถอ่านมันเป็นข้อความธรรมดา.

ดังนั้นทำให้ https เป็นตัวเลือกเดียวที่ใช้ได้เสมอ ไม่ว่าจุดปลายทางนั้นจะดูเหมือนเล็กน้อย แต่การเชื่อมต่อผ่าน http ไม่ควรเป็นตัวเลือก ใบรับรอง TLS ไม่มีค่าใช้จ่ายมากคุณสามารถซื้อได้ในราคาต่ำถึง $ 20 ที่เก็บ SSL.

การแฮ็กรหัสผ่านทางเดียว

รหัสผ่านไม่ควรถูกจัดเก็บเป็นข้อความธรรมดาเช่นเดียวกับในกรณีที่เกิดการละเมิดความปลอดภัยบัญชีผู้ใช้ทั้งหมดจะถูกบุกรุก ในเวลาเดียวกันการเข้ารหัสแบบสมมาตรควรหลีกเลี่ยงอย่างเคร่งครัดเนื่องจากผู้โจมตีใด ๆ ที่มีความคิดสร้างสรรค์และมีความมุ่งมั่นมากพอที่จะสามารถทำลายมันได้.

ตัวเลือกเดียวที่แนะนำคืออัลกอริธึมการเข้ารหัสแบบไม่สมมาตร (หรือทางเดียว) สำหรับการจัดเก็บรหัสผ่าน ด้วยวิธีนี้ผู้โจมตีหรือผู้พัฒนาระบบหรือดูแลระบบภายใน บริษัท จะไม่ได้รับรหัสผ่านของลูกค้า.

การตรวจสอบที่แข็งแกร่ง

ตอนนี้ API เกือบทุกตัวมีรูปแบบการพิสูจน์ตัวตน แต่ในความเห็นของฉันระบบ OAuth2 นั้นทำงานได้ดีที่สุด ตรงข้ามกับวิธีการตรวจสอบสิทธิ์อื่น ๆ มันจะแบ่งบัญชีของคุณออกเป็นทรัพยากรและอนุญาตให้เข้าถึงผู้ใช้โทเค็นการตรวจสอบสิทธิ์แบบ จำกัด เท่านั้น.

ในขณะเดียวกันการฝึกฝนที่ดีอีกวิธีหนึ่งในการกำหนดให้โทเค็นหมดอายุทุก ๆ 24 ชั่วโมงเพื่อให้พวกเขาต้องได้รับการฟื้นฟู ด้วยวิธีนี้แม้โทเค็นของคุณจะรั่วก็มีโอกาสที่กำหนดเวลา 24 ชั่วโมงจะลดผลกระทบของการละเมิด.

ใช้การ จำกัด อัตรา

เว้นแต่คุณจะมี API ที่ใช้งานโดยผู้คนหลายล้านคนทุกนาทีมันเป็นความคิดที่ดีมากที่จะบังคับให้มีการ จำกัด จำนวนการโทรที่ไคลเอ็นต์สามารถทำได้กับ API ในช่วงเวลาที่กำหนด.

สิ่งนี้ส่วนใหญ่เป็นการกีดกันบ็อตซึ่งสามารถส่งคำขอหลายร้อยรายการพร้อมกันทุก ๆ วินาทีและทำให้ API ของคุณกินทรัพยากรระบบโดยไม่มีเหตุผล เฟรมเวิร์กการพัฒนาเว็บทั้งหมดมาพร้อมกับมิดเดิลแวร์ที่ จำกัด อัตรา (และถ้าไม่ใช่มันค่อนข้างง่ายที่จะเพิ่มผ่านไลบรารี่) ที่ใช้เวลาเพียงหนึ่งนาทีในการตั้งค่า.

ตรวจสอบอินพุต

สิ่งนี้ฟังดูไร้สาระ แต่คุณจะประหลาดใจว่ามี API จำนวนเท่าใดที่ทำให้เกิดปัญหานี้ การตรวจสอบอินพุตไม่เพียง แต่หมายถึงการตรวจสอบว่าข้อมูลขาเข้าอยู่ในรูปแบบที่ถูกต้อง แต่ยังไม่มีความประหลาดใจอีกด้วย ตัวอย่างง่ายๆคือการฉีด SQL ซึ่งสามารถล้างฐานข้อมูลของคุณถ้าคุณปล่อยให้สตริงการสืบค้นดำเนินไปด้วยการตรวจสอบเพียงเล็กน้อยหรือไม่มีเลย.

อีกตัวอย่างหนึ่งคือการตรวจสอบขนาดการร้องขอ POST และส่งคืนรหัสข้อผิดพลาดและข้อความที่เหมาะสมไปยังลูกค้า การพยายามที่จะยอมรับและแยกวิเคราะห์อินพุตที่มีขนาดใหญ่อย่างน่าขันจะให้บริการเฉพาะเพื่อระเบิด API เท่านั้น.

บังคับใช้การกรองที่อยู่ IP ถ้ามี

หากคุณเข้าสู่บริการ B2B และธุรกิจของคุณจะถูกใช้ API จากที่ตั้งที่ตั้งไว้ให้พิจารณาการเพิ่มระดับความปลอดภัยเพิ่มเติมที่ จำกัด ที่อยู่ IP ที่สามารถเข้าถึง API ของคุณ สำหรับทุกตำแหน่งใหม่และลูกค้าใหม่ที่อยู่ IP จะต้องถูกตรวจสอบกับคำขอที่เข้ามา.

ใช่มันเพิ่มความรำคาญให้กับการขึ้นเครื่องบิน แต่ผลลัพธ์ที่ได้คือการรักษาความปลอดภัยที่เข้มงวดกว่าที่สามารถทำได้.

เครื่องมือสำหรับการเพิ่มการป้องกัน API

มีเครื่องมือที่จะช่วยให้เราสามารถสแกนช่องโหว่หรือดีกว่านี้ได้หรือไม่ให้การป้องกันบรรทัดแรกเมื่อมีการรักษาความปลอดภัยของ API?

โชคดีที่ใช่ มีเครื่องมือหลายอย่างที่คุณสามารถใช้ได้ แต่พึงระวังว่าในตอนท้ายของวันไม่มีกลยุทธ์ด้านความปลอดภัยที่สมบูรณ์แบบ ต้องบอกว่าเครื่องมือเหล่านี้สามารถเพิ่มความปลอดภัย API ของคุณได้หลายเท่าดังนั้นจึงแนะนำให้ใช้.

Metasploit

Metasploit เป็นกรอบโอเพนซอร์ซที่ได้รับความนิยมอย่างสูงสำหรับการทดสอบการเจาะเว็บแอพและ API สามารถสแกน API ของคุณเกี่ยวกับพารามิเตอร์ที่แตกต่างกันและทำการตรวจสอบความปลอดภัยที่ละเอียดถี่ถ้วนเพื่อหาช่องโหว่ในระดับต่างๆ.

ตัวอย่างเช่นการสแกนความปลอดภัยที่ดำเนินการโดย Metasploit สามารถบอกคุณได้ว่าลายเซ็น API ของคุณมอบเทคโนโลยีและระบบปฏิบัติการพื้นฐานหรือไม่ การปกปิดสิ่งนี้มักจะเป็นครึ่งหนึ่งของการต่อสู้ที่ชนะในการรักษาความปลอดภัย API.

ในขณะที่โดยทั่วไปแล้วกรอบโอเพ่นซอร์สหลักนั้นก็เพียงพอแล้ว แต่ก็มีผลิตภัณฑ์ที่มีค่าใช้จ่ายที่ยอดเยี่ยมที่สร้างขึ้นบน Metasploit ที่คุ้มค่ากับการดู แผนโปรนั้นยอดเยี่ยมถ้าคุณต้องการการสนับสนุนระดับพรีเมียมและจะใช้กรอบในเชิงลึก แต่โดยทั่วไปไม่จำเป็นถ้าทีมของคุณมีประสบการณ์เพียงพอ.

Cloudflare

ไม่ใช่แค่ CDN เท่านั้น Cloudflare นำเสนอคุณสมบัติด้านความปลอดภัยมากมายเช่น WAF จำกัด อัตราการป้องกัน DDoS ซึ่งจำเป็นต่อการรักษาความปลอดภัย API ของคุณจากภัยคุกคามออนไลน์.

Netsparker

Netsparker มาพร้อมกับ USP ของ“ การสแกนแบบอิงหลักฐาน” ในแง่ที่ง่ายกว่ามักเป็นไปได้ที่สภาพเครือข่ายที่ผิดปกติหรือพฤติกรรม API ที่รู้จักกันน้อยกว่านั้นถูกตีความว่าเป็นช่องโหว่ความปลอดภัยซึ่งพบว่าผิด.

สิ่งนี้ทำให้สิ้นเปลืองทรัพยากรเนื่องจากช่องโหว่ทั้งหมดที่รายงานต้องถูกสแกนอีกครั้งด้วยตนเองเพื่อยืนยันว่าไม่ได้เป็นผลบวกปลอม Netsparker กล่าวว่าเครื่องมือนี้สามารถให้การพิสูจน์แนวคิดที่แข็งแกร่งเพียงพอสำหรับรายงานของคุณโดยขจัดข้อสงสัยเกี่ยวกับลิงค์อ่อนแอที่พบ.

ด้วย บริษัท อย่าง Sony, Religare, Coca-Cola, Huawei ฯลฯ ในรายชื่อลูกค้าของพวกเขาคุณสามารถมั่นใจได้ว่าคนเหล่านี้กำลังทำสิ่งที่ถูกต้อง ��โดยวิธีพวกเขายังมีเหลือเชื่อ บล็อกความปลอดภัยของเว็บ ที่คุณควรปฏิบัติตาม.

SoapUI Pro

สร้างโดย SmartBear, SoapUI Pro เป็นวิธีที่ใช้งานง่ายและง่ายในการสร้างการทดสอบ API และรับรายงานที่แม่นยำจากข้อมูล นอกจากนี้ยังรวมเข้ากับท่อ CI / CD ของคุณอย่างเป็นระเบียบด้วยทำให้แน่ใจว่าไม่มีการเพิ่มรหัสใหม่ใดที่ทำให้ความปลอดภัยของ API ของคุณลดลง.

SoapUI สามารถทำงานร่วมกับ Swagger, OAS และมาตรฐาน API อื่น ๆ ที่เป็นที่นิยมช่วยลดเวลาในการเริ่มต้น ด้วยลูกค้าเช่น Microsoft, Cisco, MasterCard, Oracle, ฯลฯ และแผนการเริ่มต้นที่ $ 659 ต่อปีนี้เป็นเครื่องมือที่คุ้มค่าสำหรับ API ที่ปลอดภัยยิ่งขึ้น.

Trustwave

Trustwave เป็นชุดโซลูชั่นที่เน้นการรักษาความปลอดภัยและการสแกน หนึ่งในสิ่งพิเศษเกี่ยวกับบริการนี้คือมันไม่เพียง แต่ทำการตรวจจับภัยคุกคามที่แม่นยำบน API ของคุณ แต่ยังช่วยให้คุณเข้าใจวิธีการแก้ไข.

Trustwave ดำเนินการสิ่งที่เรียกว่าการสแกนตามบริบทซึ่งหมายความว่าเมื่อตรวจพบระบบปฏิบัติการหรือโครงสร้างพื้นฐานแล้วประสิทธิภาพของบริการจะเป็นชุดของการตรวจสอบที่เกี่ยวข้องเพื่อให้แน่ใจว่าไม่มีช่องโหว่ด้านความปลอดภัยที่น่ารังเกียจที่เกี่ยวข้องกับแพลตฟอร์มนั้น.

พวกเขายังมีทีมนักวิจัยด้านความปลอดภัยที่มีการปรับปรุงความสามารถในการให้บริการอย่างต่อเนื่อง หากคุณปฏิบัติตามข้อบังคับได้อย่างน่าเชื่อถือ Trustwave เป็นทางออกที่ดี.

หากคุณใช้ชีวิตตามจำนวนและต้องการเพลิดเพลินกับฟีเจอร์ต่าง ๆ เช่นการตอบภัยคุกคามคลิกเดียวอีกครั้งเพื่อเรียกใช้การทดสอบอีกครั้งหลังจากการแก้ไขและอื่น ๆ ไม่ต้องไปหาที่ไหนอีกแล้ว!

มี ไม่มีปัญหาการขาดแคลน เครื่องมือรักษาความปลอดภัย API ที่มีอยู่ในตลาดไม่ว่าจะเป็นโอเพ่นซอร์สฟรีหรือเพื่อการค้าหรือการรวมกันของสิ่งเหล่านี้ อย่าลังเลที่จะสำรวจมากขึ้นและหากคุณพบสิ่งที่ดีกว่านี้โปรดเขียนในความคิดเห็นและฉันยินดีที่จะรวมไว้! ��

Tags:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map