前言:用戶體驗是應(yīng)用程序的門面,而API則是企業(yè)的支柱。許多企業(yè)過去常犯的一個錯誤是將API視為應(yīng)用程序的接口。在本文中,我們將探討全面綜合的API安全方法的6項原則。
01
了解您的API和端點
即使您嘗試,也很有可能無法立即識別環(huán)境中的每個API端點。但不幸的是,您可能無法對惡意行為者說同樣的話。如果端點存在,它就可以被用作入侵途徑。
此外,提供公共API還會讓您接收來自無數(shù)客戶、合作伙伴和應(yīng)用程序的查詢。這也會使您的企業(yè)受到攻擊。為了保護您的企業(yè)免受攻擊,防止出現(xiàn)漏洞和欺詐,需要考慮一些風(fēng)險控制措施。
02
在創(chuàng)新與安全之間找到平衡
這是一場曠日持久的戰(zhàn)斗。一方面,任何成功企業(yè)的基石都是大膽創(chuàng)新、突破界限、做競爭對手做不到的事情。但另一方面,保持安全并不總是與最新的創(chuàng)新相匹配。
為每種類型的API設(shè)計API治理策略,以便設(shè)置適當(dāng)?shù)陌踩刂拼胧?/p>
實施在部署API的任何地方都能一致執(zhí)行的API安全策略。
利用AI以應(yīng)對新出現(xiàn)的威脅、異常行為以及試圖利用或濫用API的惡意用戶,從而減少安全團隊的負(fù)擔(dān)。
根據(jù)您所在的行業(yè),合規(guī)性標(biāo)準(zhǔn)會有所不同,有些要求相比其他行業(yè)而言,安全性需求更為嚴(yán)格。無論如何,API安全態(tài)勢必須足夠強大,能夠面對一連串的威脅載體。
03
在整個開發(fā)周期內(nèi)管控風(fēng)險
API安全測試并非一次性試驗。在部署前、部署期間以及部署后進行測試都至關(guān)重要。您可以通過在開發(fā)的每個階段開展測試,獲得更多機會,以在漏洞發(fā)生之前發(fā)現(xiàn)弱點和漏洞。雖然特定的安全測試工具十分有效,但切勿忘記安全用例建模。
04
從后端到終端客戶的層層保護
從外部客戶端到內(nèi)部、后端基礎(chǔ)設(shè)施,架構(gòu)的每部分都必須有各自的保護措施。
在考慮API層的保護問題時,首先將API分為“內(nèi)部和外部”這兩類十分有用。內(nèi)部API的安全更直接,因為API提供者可以與應(yīng)用團隊協(xié)調(diào)安全措施。對于外部API,風(fēng)險計算有些不同。但這并不意味著您運氣不佳。您仍然可以(且應(yīng)該)實施API級別的保護,只需采取下列三項行動:
通過實時威脅情報和訪問控制機制(例如加固的會話令牌),減少安全漏洞的機會。
建立正常和異常的流量模式基線。
限制API使用,并對任何獲批的聚合商提供精細控制。
在生產(chǎn)層面,來自API蔓延的巨大流量使得有必要使用人工智能來檢測異常行為和惡意用戶。
05
擁有適當(dāng)?shù)牟呗院凸ぞ?/strong>
就像沒有一種食物能讓我們獲得充分營養(yǎng)一樣,沒有一種安全工具能完全保護API。相反,作為整體安全架構(gòu)的一部分,您需要制定一項策略,部署全面的工具生態(tài)系統(tǒng)。
應(yīng)考慮的工具包括:
·API網(wǎng)關(guān)
·應(yīng)用安全測試(SAST和DAST)
·WAF
·Bot管理
此外,API發(fā)現(xiàn)和微分段是重要的生態(tài)系統(tǒng)能力。
06
將安全性納入開發(fā)和部署流水線
您可能已經(jīng)了解到,由于技術(shù)、層、設(shè)計和所用API的上下文多樣性,API安全可能變得十分復(fù)雜。不過,有些方法可以減輕這種復(fù)雜性。
當(dāng)您接近API安全態(tài)勢時,首先退后一步,了解一下全局。
安全需要在應(yīng)用本身的同一連續(xù)生命周期中運行,這意味著要與CI/CD流水線、服務(wù)預(yù)配和事件監(jiān)控生態(tài)系統(tǒng)緊密集成。
此外,屢試不爽的安全實踐仍然適用-默認(rèn)拒絕架構(gòu)、強加密和最低權(quán)限訪問。