Prečo a ako zabezpečiť koncový bod API?

Ako zabezpečujete svoje API?


Je to vek explózie v digitálnej ekonomike a cez API sa ukladá veľké množstvo údajov. Obchod, hry, vzdelávanie, veda, umenie. , , pomenujete to, všetko funguje na rozhraniach API. Pre svet, ktorý sa zásadne spolieha na rozhrania API, sa prekvapivo málo zameriava na bezpečnosť.

Pre vývojárov postačia predvolené hodnoty ich rámcov; alebo ešte horšie, keď sa nepoužívajú žiadne rámce, myslia si, že dodržiavajú bezpečné postupy. V prípade systémových správcov sa predvolená bezpečnosť, ktorú ponúka ich poskytovateľ infraštruktúry alebo služby, spolieha.

Nie je to pekný pohľad, ak sa ma pýtate.

Zdroj: developer.ibm.com

Netreba dodávať, že v hre je veľa, čo si uvedomujeme len vtedy, keď niečo skutočne hrozné deje.

Ale prvé veci ako prvé. ��

Prečo zabezpečené koncové body API?

Musí to byť nič netušiaci, však? Potrebujeme zabezpečiť sledované parametre, pretože na tom záleží, na čom záleží.

Aj keď je to sám osebe dosť silný argument, chcem trochu rozšíriť stanovisko a zdôrazniť ďalšie súvisiace, ale rovnako smrtiace následky..

Strata podniku

Toto je zrejmé. Ak niekto uspeje v konverzácii s koncovými bodmi rozhrania API, všetko sa zastaví. Porušenie bezpečnosti môže tiež trvať dlho, kým sa zotaví, čo sa z obchodného hľadiska prejavuje na samovraždu. Aj keď je pravda, že na väčšinu firiem pravdepodobne nebude mať vplyv jedna alebo dve prestoje, pre niektoré to nie je prípustné.

Predstavte si, že mena je na pár minút mimo prevádzky!

Problémy s dodržiavaním predpisov

Nesprávnym zabezpečením vašich rozhraní API sa môžete dostať do vážnych problémov v závislosti od toho, s ktorými zemepisnými oblasťami alebo odvetviami sa zaoberáte. Napríklad, ak obsluhujete odvetvie bankovníctva (najmä v EÚ), náklady na jeho odhalenie slúžiace nezabezpečeným rozhraniam API budú mať za následok veľké právne a právne problémy. Toľko, že to môže dokonca znamenať koniec vášho podnikania.

Strata povesti

Byť hackovaný je sám osebe dosť bolestivý, ale ak sa správy dostanú na verejnosti, bude to pre vašu značku značky nenapraviteľnú stratu. Napríklad spoločnosť Sony bola niekoľkokrát veľmi hackovaná a spoločnosť v bezpečnostných kruhoch je spoločnosť smiech druhov.

Aj keď nedôjde k skutočnej strate údajov ani peňazí, veľa šťastia sa snaží presvedčiť vašich zákazníkov. ��

Nafukovacie účty za infraštruktúru

Keď vaše rozhranie API beží na infraštruktúre, spotrebováva prostriedky (väčšinou šírku pásma, väčšinou CPU a pamäť). Napríklad, ak API nie je správne zabezpečené a škodliví outsideri s ním dokážu interagovať, je možné, aby prinútili API, aby pokračovalo v práci bez zbytočnej práce (napríklad spúšťanie ťažkých databázových dopytov), ​​ktoré môžu vystreliť. vaše účty z dôvodov.

Na platformách, kde je povolené automatické škálovanie zdrojov (napríklad AWS), môžu byť výsledky šokujúce (mimo témy, ale ak vás niekedy niekto chytí do polievky ako je táto na AWS, celkom pochopia situáciu a okamžite sa vzdajú nafúknutý účet – aspoň písomne!).

Tímová morálka

Možno si myslíte, že tím, ktorý tieto kompromisy umožnil, stratí nad nimi morálku? No, nie celkom. Je možné, že kompromisy boli spôsobené slabou bezpečnosťou infraštruktúry, ktorá znechutí vývojárov alebo naopak.

Ak k tomu dôjde dosť času, budete mať na rukách kultúru, ktorú budete ľutovať.

Zisky konkurenta

Povedzme, že došlo k porušeniu, ale nedošlo k žiadnym skutočným stratám. Vaši konkurenti však využijú incident na vylepšenie vlastného rozhrania API a tvrdia, ako oveľa bezpečnejšie je ich (aj keď to nie je!). Ešte raz veľa šťastia pri pokuse presvedčiť trh. ��

Celkovo vzaté, následky porušenia bezpečnosti, ktoré idú nad rámec straty peňazí, majú následky.

Osvedčené postupy na zabezpečenie koncových bodov API

Našťastie existujú určité ľahko implementovateľné a dobre zrozumiteľné postupy, ktoré môžete použiť na zaistenie koncových bodov API. Tu je to, čo väčšina odborníkov v oblasti bezpečnosti odporúča.

HTTPS vždy

Ak vaše koncové body API umožňujú zákazníkom rozhrania API komunikovať prostredníctvom protokolu http alebo iných nezabezpečených protokolov, vystavujete ich veľkému riziku. Heslá, tajné kľúče a informácie o kreditných kartách sa dajú ľahko ukradnúť útok typu človek v strede alebo nástroj na identifikáciu paketov ich dokáže prečítať ako obyčajný text.

Preto vždy urobte https jedinou možnosťou. Bez ohľadu na to, ako koncový bod sa môže zdať bezvýznamný, pripojenie cez http by nemalo byť ani možnosťou. Certifikát TLS nestojí toľko, môžete si ho kúpiť za pouhých 20 dolárov SSL obchod.

Jednosmerné hashovanie heslom

Heslá by sa nikdy nemali ukladať ako obyčajný text, pretože v prípade, že dôjde k narušeniu zabezpečenia, budú všetky používateľské účty ohrozené. Zároveň by sa malo prísne vyhnúť symetrickému šifrovaniu, pretože každý útočník, ktorý je dômyselný a dostatočne vytrvalý, ich bude môcť zlomiť.

Jedinou navrhovanou možnosťou sú asymetrické (alebo „jednosmerné“) šifrovacie algoritmy na ukladanie hesiel. Takto si ani útočník, ani vývojár ani sysadmin v spoločnosti nebudú môcť prečítať heslá zákazníkov.

Silná autentifikácia

Teraz má takmer každé API formu autentifikácie, ale podľa môjho názoru systém OAuth2 funguje najlepšie. Na rozdiel od iných metód overovania rozdeľuje váš účet na zdroje a umožňuje iba obmedzený prístup k nosiču autorizačných tokenov.

Zároveň je veľmi dobrým postupom nastaviť tokeny, aby vypršali každých, povedzme, 24 hodín, takže ich treba obnoviť. Týmto spôsobom, dokonca aj keď dôjde k úniku vášho tokenu, existuje šanca, že 24-hodinový termín zníži dopad porušenia.

Použite obmedzenie sadzieb

Pokiaľ nemáte rozhranie API, ktoré používajú každú minútu milióny ľudí, je veľmi dobré vynútiť si limit, koľko hovorov môže klient v rámci daného časového okna uskutočniť na rozhraní API..

Toto je väčšinou na odradenie robotov, ktorí dokážu každú sekundu zasielať stovky simultánnych žiadostí a vaše rozhranie API nebude správne využívať systémové prostriedky. Všetky rámce pre vývoj webových aplikácií sa dodávajú s middlewarom obmedzujúcim rýchlosť (a ak nie, je celkom ľahké pridať ho pomocou knižnice), ktorého nastavenie trvá asi minútu..

Overte vstup

Znie to ako nič netušiaci, ale budete prekvapení, koľko rozhraní API pre toto platí. Overenie vstupu neznamená len kontrolu, či prichádzajúce údaje sú v správnom formáte, ale tiež, že nie sú možné žiadne prekvapenia. Jednoduchým príkladom je vstrekovanie SQL, ktoré môže vymazať vaše databázy, ak necháte reťazce dotazov prejsť s malou alebo žiadnou kontrolou.

Ďalším príkladom je overenie veľkosti požiadavky POST a vrátenie správneho chybového kódu a správy klientovi. Pokus prijať a analyzovať smiešne veľké vstupy bude slúžiť iba na vyhodenie do povetria API.

Ak je to potrebné, vynútite filtrovanie IP adries

Ak využívate služby B2B a vaše rozhrania API používajú firmy z rôznych umiestnení, zvážte pridanie ďalšej úrovne zabezpečenia, ktorá obmedzuje adresu IP, ktorá má prístup k vášmu rozhraniu API. Pre každé nové umiestnenie a nových klientov bude potrebné skontrolovať IP adresu oproti prichádzajúcej žiadosti.

Áno, zvyšuje to nepríjemnosť na palube, ale konečný výsledok je omnoho prísnejší, ako sa dá inak dosiahnuť.

Nástroje na zvýšenie ochrany API

Existujú nástroje, ktoré nám môžu pomôcť pri skenovaní zraniteľnosti, alebo ešte lepšie, ponúkajú prvú obrannú líniu, pokiaľ ide o zabezpečenie rozhraní API?

Našťastie áno. Existuje niekoľko nástrojov, ktoré môžete použiť, ale buďte opatrní, že na konci dňa nie je dokonalá žiadna bezpečnostná stratégia. Tieto nástroje však môžu mnohonásobne zvýšiť bezpečnosť vášho rozhrania API, preto sa odporúčajú.

Metasploit

Metasploit je veľmi populárny open source framework pre penetračné testovanie webových aplikácií a API. Môže skontrolovať vaše API na niekoľko rôznych parametrov a vykonať dôkladný bezpečnostný audit pre rôzne úrovne prítomných slabých miest.

Napríklad bezpečnostná kontrola vykonaná spoločnosťou Metasploit vám môže povedať, či vaše podpisy rozhrania API rozdávajú základné technológie a operačný systém alebo nie; zatajovanie je často polovica bitky o bezpečnosť API.

Kým otvorený zdrojový rámec je vo všeobecnosti dosť dobrý, na vrchole spoločnosti Metasploit stojí vynikajúce platené produkty, ktoré sa oplatí pozrieť. Pro plán je vynikajúci, ak chcete prémiovú podporu a bude tento rámec používať do hĺbky, ale vo všeobecnosti nie je potrebný, ak je váš tím dostatočne skúsený.

CloudFlare

Nielen CDN, ale CloudFlare ponúka množstvo bezpečnostných funkcií, ako je WAF, obmedzovanie rýchlosti, ochrana DDoS, ktoré budú nevyhnutné na zabezpečenie vášho rozhrania API pred online hrozbami.

Netsparker

Netsparker prichádza s USP „skenovania založeného na dôkazoch“. Zjednodušene povedané, je často možné, že nepravidelné podmienky v sieti alebo niektoré menej známe chovanie rozhrania API sa považujú za bezpečnostné medzery, o ktorých sa neskôr zistí, že sú nesprávne.

To mrhá prostriedkami, pretože všetky nahlásené zraniteľné miesta sa musia znova skontrolovať manuálne, aby sa potvrdilo, že nejde o falošné poplachy. Netsparker hovorí, že tento nástroj vám môže poskytnúť dostatočne silný dôkaz koncepcie správ, čím odstraňuje pochybnosti o nájdených slabých odkazoch.

So spoločnosťami ako Sony, Religare, Coca-Cola, Huawei atď. Na ich zozname klientov si môžete byť istí, že títo ľudia robia niečo správne. �� Mimochodom, majú tiež neuveriteľné webový bezpečnostný blog že by ste sa mali riadiť.

SoapUI Pro

Vytvorené spoločnosťou SmartBear, SoapUI Pro predstavuje intuitívny a jednoduchý spôsob vytvárania testov API a získavania presných správ založených na údajoch. Úhľadne sa tiež integruje do vášho potrubia CI / CD a zaisťuje, že žiadne nové pridania kódu neohrozia bezpečnosť vášho rozhrania API..

SoapUI dokáže spolupracovať so spoločnosťami Swagger, OAS a ďalšími populárnymi štandardmi API, čo výrazne skracuje čas potrebný na začatie práce. S klientmi ako Microsoft, Cisco, MasterCard, Oracle atď. A plánmi začínajúcimi na 659 $ ročne, je to užitočný nástroj pre bezpečnejšie API.

Trustwave

Trustwave je sada riešení zameraných na bezpečnostné skenovanie a tvrdenie. Jednou z jedinečných vecí tejto služby je to, že nielenže vykonáva presnú detekciu hrozieb vo vašom API, ale tiež vám pomáha pochopiť, ako ich opraviť..

Trustwave vykonáva to, čo nazýva skenovanie zamerané na kontext, čo znamená, že akonáhle sa zistí základný operačný systém alebo infraštruktúra, výkon služby rad súvisiacich kontrol, aby sa zabezpečilo, že nie sú prítomné nepríjemné bezpečnostné diery súvisiace s touto platformou..

Pýši sa tiež silným tímom výskumných pracovníkov v oblasti bezpečnosti, ktorí neustále aktualizujú možnosti služieb. Ak máte veľké problémy s dodržiavaním predpisov, Trustwave je dobrým riešením.

Ak žijete podľa čísel a chcete využívať funkcie, ako je napríklad odpoveď na hrozbu, opakované spustenie testov jedným kliknutím po oprave atď. Už nehľadajte nič!

je tu žiadny nedostatok bezpečnostných nástrojov API dostupných na trhu, či už ide o open source, bezplatný alebo komerčný, alebo o akúkoľvek ich kombináciu. Neváhajte a preskúmajte viac. Ak nájdete niečo ešte lepšie, napíšte to do komentárov a radi ich zahrneme! ��

Tagy:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map