Pse dhe si të sigurojmë pikën e fundit të API?

Si po e siguroni API-në tuaj?


Theshtë mosha e shpërthimit të ekonomisë dixhitale, dhe ngarkesa masive të të dhënave po hidhen përmes API-ve. Biznesi, lojrat, arsimi, shkenca, artet. . . ju e emëroni atë, gjithçka funksionon në API. Për një botë kaq të mbështetur në API, ka shumë pak përqëndrim në siguri.

Për zhvilluesit, standardet e kornizave të tyre janë të mjaftueshme; ose edhe më keq, kur nuk përdoren kornizat, ata mendojnë se po ndjekin praktika të sigurta. Për administratorët e sistemit, siguria e paracaktuar e ofruar nga infrastruktura ose ofruesi i shërbimit të tyre është ajo në të cilën mbështeten.

Asnjë pamje e bukur fare, nëse më pyet.

Burimi: developer.ibm.com

Lessshtë e panevojshme të thuhet, ka shumë në diskutim, të cilat i kuptojmë vetëm kur diçka vërtet e tmerrshme ndodh.

Por gjërat e para së pari. ��

Pse të sigurohen pikat përfundimtare të API-së?

Kjo duhet të jetë një inteligjent, apo jo? Ne duhet të sigurojmë pikat e mbarimit, sepse, kjo është çka varet nga biznesi.

Ndërsa është një argument mjaft i fortë në vetvete, unë dua të zgjeroj pak pikëpamjen dhe të nxjerrë në pah pasoja të tjera të lidhura, por po aq vdekjeprurëse.

Humbja e biznesit

Kjo është e dukshme. Nëse dikush arrin të messingpoint me pikat e fundit të API-së tuaj, ajo do të sjellë gjithçka në një ndalesë mahnitëse. Shkeljet e sigurisë gjithashtu mund të kërkojnë shumë kohë për tu rikuperuar, gjë që përkthehet në vetëvrasje në terma biznesi. Ndërsa është e vërtetë që shumica e bizneseve ndoshta nuk do të preken nga një orë ose dy nga joproduktive, për disa nuk është e lejueshme.

Imagjinoni që një shkëmbim monedhe po binte për disa minuta!

Ështjet e pajtueshmërisë

Mos sigurimi i API-ve tuaj siç duhet, mund t’ju ulë në telashe serioze, në varësi të cilat gjeografi ose industri me të cilat merreni. Për shembull, nëse po i shërbeni industrisë bankare (veçanërisht në BE), kostoja e zbulimit duke shërbyer me API të pasigurt do të rezultojë në probleme masive ligjore dhe pajtueshmërie. Aq shumë sa që mund të parashikojë edhe fundin e biznesit tuaj.

Humbja e reputacionit

Të qenit i hakuar është mjaft i dhimbshëm në vetvete, por nëse lajmet dalin në publik, do të ketë një humbje të pariparueshme për imazhin e markës tuaj. Për shembull, Sony është hakuar shumë keq disa herë deri tani, dhe në qarqet e sigurisë, kompania është një karagjoz të llojeve.

Edhe nëse nuk shkaktohet humbje faktike e parave, fat i mirë duke u përpjekur të bindni klientët tuaj skandaloz. ��

Faturat e inflacionit të infrastrukturës

Kur API juaj funksionon në një infrastrukturë, ai konsumon burime (bandwidth, CPU dhe memorie, kryesisht). Për shembull, kur API nuk është siguruar si duhet dhe të huajt keqdashës janë në gjendje të bashkëveprojnë me të, është e mundur që ata të detyrojnë API të vazhdojë të bëjë shumë punë pa kuptim (ekzekutimi i pyetjeve të bazës së të dhënave të rënda, për shembull), të cilat mund të arrijnë faturat tuaja për arsye.

Në platformat ku është mundësuar shkallëzimi automatik i burimeve (si AWS), rezultatet mund të jenë tronditëse (temë jashtë, por nëse ndonjëherë kapeni një supë si kjo në AWS, ata janë plotësisht të kuptuar të situatës dhe menjëherë heqin dorë nga faturë e fryrë – të shkruarit, të paktën!).

Morali i ekipit

Pra, mund të jeni duke menduar, skuadra që le të ndodhin këto kompromise do të humbasë moralin ndaj tyre? Epo, jo mjaft. Shtë e mundur që kompromiset të vijnë për shkak të sigurisë së dobët të infrastrukturës, e cila do të dekurajojë zhvilluesit ose anasjelltas.

Nëse kjo do të ndodhë në kohën e duhur, do të keni në dorë një kulturë për të cilën do të pendoheni duke e lejuar zhvillimin.

Fitimet e konkurrencës

Pra, le të themi se ka pasur një shkelje, por nuk ka ndonjë humbje të vërtetë. Sidoqoftë, konkurrentët tuaj do ta përdorin incidentin për të provuar API e tyre dhe të pohojnë se sa është më i sigurti i tyre (edhe nëse nuk është!). Edhe një herë, fat të mirë duke u përpjekur të bindni tregun. ��

Në përgjithësi, ka pasoja në shkeljet e sigurisë që shkojnë përtej humbjes së parave.

Praktikat më të mira për sigurimin e pikave të fundit të API-së

Fatmirësisht, ekzistojnë disa praktika të thjeshta për t’u zbatuar dhe të kuptuara mirë që mund të aplikoni në pikat e fundit të API-së tuaj për sigurimin e tyre. Ja çfarë rekomandojnë shumica e ekspertëve të sigurisë.

HTTPS gjithmonë

Nëse pikat e fundit tuaja të API-së lejojnë konsumatorët API të flasin mbi http ose protokolle të tjera jo të sigurta, ju po i vendosni ato në një rrezik të madh. Fjalëkalimet, çelësat sekret dhe informacionet mbi kartat e kreditit lehtë mund të vidhen si çdo sulmi njeri-në-mes ose mjeti i paketimit të paketave mund t’i lexojë ato si tekst të thjeshtë.

Pra, gjithnjë bëni https mundësinë e vetme në dispozicion. Pavarësisht se sa pikë e parëndësishme mund të duket, lidhja me http nuk duhet të jetë as një opsion. Certifikata TLS nuk kushton shumë, mund të blini për aq pak sa 20 dollarë nga Dyqan SSL.

Kuptimi me fjalëkalim të njëanshëm

Fjalëkalimet nuk duhet të ruhen kurrë si tekst i thjeshtë, pasi në rast se ndodh një shkelje e sigurisë, të gjitha llogaritë e përdoruesit do të rrezikohen. Në të njëjtën kohë, kriptimi simetrik duhet të shmanget rreptësisht, pasi çdo sulmues i zgjuar dhe i vazhdueshëm do të jetë në gjendje t’i prishë ato.

Mundësia e vetme e sugjeruar është algoritmet e kriptimit asimetrike (ose “njëkahëshe”) për ruajtjen e fjalëkalimeve. Në atë mënyrë, as një sulmues, as ndonjë zhvillues ose sysadmin brenda kompanisë nuk do të mësojë të lexojë fjalëkalimet e klientit.

Autentifikim i fortë

Tani, pothuajse çdo API ka një formë autentifikimi, por për mendimin tim, sistemi OAuth2 funksionon më së miri. Në krahasim me metodat e tjera të autentifikimit, ai e ndan llogarinë tuaj në burime dhe lejon vetëm hyrje të kufizuar te bartësi i shenjës.

Në të njëjtën kohë, një praktikë tjetër shumë e mirë për të vendosur shenjat që skadojnë çdo, të themi, 24 orë, në mënyrë që ato të rifreskohen. Në këtë mënyrë, edhe nga shenja juaj rrjedh, ekziston një shans që afati 24-orësh të zvogëlojë ndikimin e shkeljes.

Aplikoni kufizimin e normës

Në qoftë se nuk keni një API që përdoret nga miliona njerëz çdo minutë, është një ide shumë e mirë të zbatoni një kufi se sa thirrje mund të bëjë një klient në API në një dritare të caktuar kohore.

Kjo është kryesisht për të dekurajuar bots, të cilat mund të vazhdojnë të dërgojnë qindra kërkesa të njëkohshme çdo sekondë dhe ta bëjnë API-në tuaj të hajë burime të sistemit pa ndonjë arsye të mirë. Të gjitha kornizat e zhvillimit të uebit vijnë me një program kompjuterik ndërmjetës kufizues të normës (dhe nëse jo, është mjaft e thjeshtë ta shtosh atë përmes një biblioteke) që kërkon vetëm një minutë ose pak për tu vendosur.

Vërtetoni hyrjen

Kjo tingëllon si pa mend, por do të habiteni se sa API bien për këtë. Vërtetimi i hyrjes jo vetëm do të thotë të kontrolloni nëse të dhënat hyrëse janë në një format të saktë, por edhe që nuk janë të mundshme surprizat. Një shembull i thjeshtë është injeksioni SQL, i cili mund të fshijë bazat e të dhënave tuaja nëse lejoni që telat e pyetjes të kalojnë me pak ose aspak kontrollim.

Një shembull tjetër është të vërtetoni madhësinë e kërkesës POST dhe t’i ktheni një kod dhe mesazh të duhur gabimit klientit. Përpjekja për të pranuar dhe analizuar inputet e mëdha qesharake vetëm do të shërbejë për të hedhur në erë API.

Zbatoni filtrimin e adresës IP, nëse është e aplikueshme

Nëse jeni në shërbimet B2B dhe API-të tuaj përdoren nga bizneset nga vendet e caktuara, duke konsideruar shtimin e një shtrese shtesë të sigurisë që kufizon adresën IP që mund të hyjë në API-në tuaj. Për çdo vendndodhje të re dhe klientë të rinj, adresa IP do të duhet të kontrollohet përkundrejt kërkesës në hyrje.

Po, kjo shton telashe në bord, por rezultati përfundimtar është siguri shumë më e fortë sesa mund të arrihet ndryshe.

Mjetet për rritjen e mbrojtjes API

A ka mjete që mund të na ndihmojnë të skanojmë cenueshmërinë, apo edhe më mirë, duke ofruar rreshtin e parë të mbrojtjes kur bëhet fjalë për sigurimin e API-ve?

Për fat të mirë, po. Ekzistojnë disa mjete që mund të përdorni, por ki kujdes që në fund të ditës asnjë strategji e sigurisë të mos jetë e përsosur. Duke thënë këtë, këto mjete mund të rrisin shumëfish sigurinë tuaj API, kështu që ato rekomandohen.

Metasploit

Metasploit është një kornizë jashtëzakonisht e popullarizuar me burim të hapur për testimin e depërtimit të aplikacioneve në internet dhe API. Mund të skanojë API-në tuaj në disa parametra të ndryshëm dhe të bëjë një kontroll shterues të sigurisë për nivele të ndryshme të prekshmërisë së pranishme.

Për shembull, skanimi i sigurisë i realizuar nga Metasploit mund t’ju tregojë nëse nënshkrimet tuaja API ju japin teknologjitë themelore ose sistemin operativ apo jo; fshehja e kësaj është shpesh gjysma e betejës së fituar në sigurinë e API.

Ndërsa korniza thelbësore e burimit të hapur është përgjithësisht e mjaftueshme, ekzistojnë produkte të shkëlqyera me pagesë të ndërtuara në majë të Metasploit që ia vlen të shikojnë. Pro plan është i shkëlqyeshëm nëse doni mbështetje premium dhe do të përdorni kornizën në thellësi, por në përgjithësi nuk është e nevojshme nëse ekipi juaj është me përvojë të mjaftueshme.

CloudFlare

Jo vetëm CDN por CloudFlare ofroni shumë karakteristika të sigurisë si WAF, kufizimin e normës, mbrojtjen e DDoS e cila do të jetë thelbësore në sigurimin e API tuaj nga kërcënimet në internet.

Netsparker

Netsparker vjen me një USP të “skanimit të bazuar në prova”. Me terma më të thjeshtë, shpesh është e mundur që kushtet e parregullta të rrjetit ose disa sjellje më pak të njohura API interpretohen si zbrazeta të sigurisë, të cilat më vonë konstatohen të gabuara.

Kjo i harxhon burimet pasi të gjitha dobësitë e raportuara duhet të skanohen përsëri me dorë për të konfirmuar se ato nuk janë pozitive false. Netsparker thotë se mjeti është në gjendje t’ju ofrojë një provë të mjaftueshme të konceptit për raportet, duke hequr dyshimet për lidhjet e dobëta të gjetura.

Me kompani si Sony, Religare, Coca-Cola, Huawei, etj., Në listën e klientëve të tyre, mund të jeni i sigurt se këta njerëz po bëjnë diçka të drejtë. �� Nga rruga, ata gjithashtu kanë një pabesueshme blog sigurie në internet që duhet të ndiqni.

SoapUI Pro

E ndërtuar nga SmartBear, SoapUI Pro është një mënyrë intuitive dhe e thjeshtë për të krijuar teste API dhe për të marrë raporte të sakta, të drejtuara nga të dhënat mbi to. Ai gjithashtu integrohet mjeshtërisht me tubacionin CI / CD, duke u siguruar që asnjë shtesë e kodit të ri nuk po rrezikon sigurinë e API-së tuaj.

SoapUI është në gjendje të punojë me Swagger, OAS, dhe standarde të tjera të njohura API, duke zvogëluar ndjeshëm kohën për të filluar. Me klientë si Microsoft, Cisco, MasterCard, Oracle, etj., Dhe planet që fillojnë nga 659 dollarë në vit, ky është një mjet i denjë për API-të më të sigurta.

Trustwave

Trustwave është një grup i zgjidhjeve të përqëndruara në skanimin dhe forcimin e sigurisë. Një nga gjërat unike në lidhje me këtë shërbim është se ai jo vetëm që kryen zbulimin e saktë të kërcënimit në API tuaj, por gjithashtu ju ndihmon të kuptoni se si t’i rregulloni ato.

Trustwave kryen atë që e quan skanim i vetëdijshëm për kontekstin, domethënë pasi të jetë zbuluar një sistem operativ ose infrastrukturë themelore, performanca e shërbimit një seri kontrollesh të lidhura për të siguruar që vrimat e këqija të sigurisë që lidhen me atë platformë nuk janë të pranishme.

Ata gjithashtu mburren me një ekip të fortë studiuesish të sigurisë, të cilët po azhurnojnë vazhdimisht aftësitë e shërbimit. Nëse jeni të kënaqur me pajtueshmërinë, Trustwave është një zgjidhje e mirë.

Nëse jetoni sipas numrave dhe dëshironi të shijoni tipare të tilla si përgjigje kërcënimi, riparimi me një klik me një klik të testeve pas ndreqjeve, etj., Mos kërkoni më tej!

ka nuk ka mungesë të mjeteve të sigurisë API të disponueshme në treg, pavarësisht nëse është me burim të hapur, falas ose komercial, ose ndonjë kombinim i këtyre. Mos ngurroni të eksploroni më shumë, dhe nëse gjeni diçka edhe më të mirë, ju lutemi shkruani kështu në komente dhe do të jem i lumtur ta përfshij atë! ��

TAGS:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map