რატომ და როგორ დავიცვათ API ბოლო წერტილი?

როგორ უზრუნველყოფს თქვენი API უზრუნველყოფა?


ეს არის ციფრული ეკონომიკის აფეთქების ასაკი და მონაცემების მასიური დატვირთვა ხდება API– ების საშუალებით. ბიზნესი, თამაში, განათლება, მეცნიერება, ხელოვნება. . . თქვენ ასახელებთ მას, ყველაფერი მუშაობს API– ზე. მსოფლიოსთვის, რომელიც ფუნდამენტურად არის დამოკიდებული API– ებზე, გასაკვირი არ არის, რომ ყურადღება გამახვილდეს უსაფრთხოებაზე.

დეველოპერებისთვის, მათი ჩარჩოების ნაგულისხმევი საკმარისია; ან კიდევ უფრო უარესი, როდესაც ჩარჩოებს არ იყენებენ, ფიქრობენ, რომ ისინი დაცულ პრაქტიკას მისდევენ. სისტემის ადმინისტრატორებისთვის, მათი ინფრასტრუქტურის ან მომსახურების მიმწოდებლის მიერ ნაგულისხმევი დაცვა არის ის, რასაც ეყრდნობიან.

საერთოდ არ არის ლამაზი სანახავი, თუ მკითხავთ.

წყარო: developer.ibm.com

ზედმეტია სათქმელი, არსებობს უამრავი საკითხი, რომელსაც ჩვენ ვხვდებით მხოლოდ მაშინ, როდესაც რაღაც ნამდვილად საშინელი ხდება.

მაგრამ პირველი რამ პირველ რიგში. ��

რატომ არის უსაფრთხო API წერტილების მითითებები?

ეს უნდა იყოს არაპროექტური, არა? ჩვენ უნდა გავამყაროთ საბოლოო წერტილები, რადგან, რაზეა დამოკიდებული ბიზნესი.

მიუხედავად იმისა, რომ ეს საკმაოდ ძლიერი არგუმენტია, მე მინდა გავაფართოვო ეს შეხედულება და აღვნიშნო სხვა დაკავშირებული, მაგრამ თანაბრად სასიკვდილო შედეგები.

ბიზნესის დაკარგვა

ეს აშკარაა. თუ ვინმეს მიაღწევს API- ს ბოლო წერტილებთან ურთიერთობას, ეს ყველაფერი გაჩერდება. უსაფრთხოების დარღვევას ასევე შეუძლია ბევრი დრო დასჭირდეს გამოსწორებას, რაც ითვალისწინებს თვითმკვლელობას ბიზნესის თვალსაზრისით. მიუხედავად იმისა, რომ მართალია, ბიზნესის უმეტესობას არ შეეძლება ზემოქმედების ქვეშ მოყოლებული საათის და ორი საათის განმავლობაში დაზარალება, ზოგისთვის ეს არ არის დაშვებული.

წარმოიდგინეთ, ვალუტის გაცვლა რამდენიმე წუთის განმავლობაში მცირდება!

შესაბამისობის საკითხები

თქვენი API– ების სწორად უზრუნველყოფამ შეიძლება სერიოზული პრობლემები შეგექმნათ, იმისდა მიხედვით, თუ რომელ გეოგრაფიებთან ან ინდუსტრიებთან გაქვთ საქმე. მაგალითად, თუ თქვენ ემსახურებით საბანკო ინდუსტრიას (განსაკუთრებით ევროკავშირში), დაუცველი API- ებით მომსახურების აღმოჩენის ხარჯები გამოიწვევს იურიდიულ და შესაბამისობასთან დაკავშირებული პრობლემები. იმდენად, რამდენადაც ეს შეიძლება დასრულდეს თქვენი ბიზნესის დასრულება.

რეპუტაციის დაკარგვა

გატაცება თავისთავად მტკივნეულია, მაგრამ თუ ახალი ამბები გამოვა საზოგადოებაში, თქვენი ბრენდის იმიჯს გამოუსწორებელი ზიანი მოჰყვება. მაგალითად, Sony– ს მიერ უკვე რამდენჯერმე მოხდა ძალიან ცუდად გატაცება, უსაფრთხოების წრეებში კი კომპანია ა სიცილი საფონდო ყველა სახის.

მაშინაც კი, თუ მონაცემების ან ფულის ფაქტობრივი დაკარგვა არ მომხდარა, წარმატებებს გისურვებთ თქვენი სკანდალური მომხმარებლების დარწმუნება. ��

ინფრასტრუქტურული გადასახადები

როდესაც თქვენი API ინფრასტრუქტურაზე მუშაობს, ის მოიხმარს რესურსს (სიჩქარეს, CPU და მეხსიერებას, ძირითადად). მაგალითად, როდესაც API არ არის უზრუნველყოფილი სათანადოდ და მავნე აუტსაიდერებს შეუძლიათ მასზე ურთიერთქმედება, შესაძლებელია მათთვის API აიძულონ გააგრძელონ უამრავი უაზრო სამუშაო (მაგალითად, მონაცემთა ბაზის მძიმე შეკითხვის გაშვება), რამაც შეიძლება გადაიღოს თქვენი გადასახადები მიზეზების გამო.

პლატფორმებზე, სადაც ჩართულია რესურსების ავტომატური სკალირება (AWS- ს მსგავსად), შედეგები შეიძლება შოკისმომგვრელი იყოს (off თემა, მაგრამ თუ თქვენ ოდესმე დაიჭირეთ AWS– ში მსგავსი სუპი), ისინი საკმაოდ აცნობიერებენ სიტუაციას და დაუყოვნებლივ უარი თქვან გაბერილი კანონპროექტი – როგორც წერა, როგორც მინიმუმ!).

გუნდური ზნე

ალბათ ფიქრობთ, რომ გუნდი, ვინც ამ კომპრომისებს უშვებს, დაკარგავს ზნეობას მათზე? არა, არც თუ ისე. შესაძლებელია, რომ კომპრომისი გამოწვეული იყოს ინფრასტრუქტურის სუსტი წყალობით, რაც დეველოპერებს განაწყენდება ან პირიქით.

თუ ეს საკმარისი დრო მოხდება, თქვენს ხელზე გექნებათ კულტურა, რომელსაც ნანობთ, რომ განვითარებას შეძლებთ.

კონკურენტის მოგება

ვთქვათ, მოხდა დარღვევა, მაგრამ ფაქტობრივი ზარალი არ მომხდარა. ამასთან, თქვენი კონკურენტები გამოიყენებენ ინციდენტს საკუთარი API- ის დასასმელად და ამტკიცებენ, რამდენად უსაფრთხოა მათი (თუნდაც ეს ასე არ იყოს!). კიდევ ერთხელ, წარმატებებს გისურვებთ ბაზრის დარწმუნებას. ��

მთლიანობაში, უსაფრთხოების პრობლემები შეიძლება გამოიწვიოს, რაც ფულის დაკარგვას სცილდება.

საუკეთესო პრაქტიკა API წერტილების დასადგენად

საბედნიეროდ, არსებობს მარტივი და კარგად გააზრებული პრაქტიკა, რომლის საშუალებითაც შეგიძლიათ მიმართოთ თქვენს API პუნქტებს მათი უსაფრთხოების უზრუნველსაყოფად. აი რას გირჩევთ უსაფრთხოების ექსპერტები.

HTTPS ყოველთვის

თუ თქვენი API წერტილები საშუალებას აძლევს მომხმარებლებს API ისაუბრონ http ან სხვა არა უსაფრთხო პროტოკოლებზე, მათ მათ დიდი საფრთხე აყენებთ. პაროლები, საიდუმლო გასაღებები და საკრედიტო ბარათის ინფორმაცია ადვილად შეიძლება მოიპარონ, როგორც ყველა შუაგული შეტევა ან პაკეტის სრიფფერ ინსტრუმენტს შეუძლია წაიკითხოს ისინი როგორც ტექსტი.

ასე რომ, ყოველთვის გააკეთეთ https ერთადერთი ვარიანტი. არ აქვს მნიშვნელობა, რამდენად დამახასიათებელია საბოლოო წერტილი, HTTP- ზე დაკავშირება არ შეიძლება იყოს ვარიანტი. TLS სერთიფიკატი არ ღირს ბევრი, შეგიძლიათ შეიძინოთ მინიმუმ 20 დოლარიდან SSL მაღაზია.

ცალმხრივი პაროლის hashing

პაროლები არასოდეს ინახებოდეს როგორც უბრალო ტექსტს, რადგან იმ შემთხვევაში, თუ უსაფრთხოების დარღვევა მოხდა, მომხმარებლის ყველა ანგარიში კომპრომეტირდება. ამავე დროს, სიმეტრიული დაშიფვრა მკაცრად უნდა იქნას აცილებული, რადგან ნებისმიერი თავდამსხმელი ინტელექტუალური და დაჟინებული საკმარისი იქნება მათი დაშლა.

ერთადერთი შემოთავაზებული ვარიანტია ასიმეტრიული (ან „ცალმხრივი“) დაშიფვრის ალგორითმები პაროლების შესანახად. ამ გზით, არც თავდამსხმელი, არც კომპანიის შემქმნელი ან sysadmin ვერ მიიღებენ მომხმარებლის პაროლების წასაკითხად.

ძლიერი ავთენტიფიკაცია

ახლა, თითქმის ყველა API– ს აქვს ავტორიზაციის ფორმა, მაგრამ ჩემი აზრით, OAuth2 სისტემა საუკეთესოდ მუშაობს. ავტორიზაციის სხვა მეთოდებისგან განსხვავებით, იგი თქვენს ანგარიშს რესურსებად ანაწილებს და მხოლოდ ავტორიზაციის ნიშნების მფლობელის შეზღუდულ შესაძლებლობას იძლევა..

ამავდროულად, კიდევ ერთი ძალიან კარგი პრაქტიკაა, რომ მითითებული იყოს ყველა ნიშანი, ვთქვათ, 24 საათის ვადა, რათა მათი განახლება მოხდეს. ამ გზით, თქვენი ნიშანიდან კი გაჟონვა, არსებობს შანსი, რომ 24-საათიანი ვადა შეამციროს დარღვევის გავლენა.

გამოიყენეთ განაკვეთის შეზღუდვა

თუ არ გაქვთ API, რომელსაც მილიონობით ადამიანი იყენებს ყოველ წუთს, ძალიან კარგი იდეაა, რომ შეასრულოთ ისეთი ლიმიტი, რამდენი ზარის დამკვეთს შეუძლია განახორციელოს API მოცემულ დროში..

ეს ძირითადად ბოტასების დასამცირებლად ხდება, რომელსაც ყოველ წამში შეუძლია ასობით ერთდროული მოთხოვნის გაგზავნა და თქვენი API გახდის სისტემის რესურსების უპრობლემოდ გადაცემას. ვებ – განვითარების ყველა ჩარჩო შემუშავებულია საშუალო დონის შეზღუდვით (და თუ არა, მისი დამატება მარტივია ბიბლიოთეკის საშუალებით), რომლის დაყენებას მხოლოდ ერთი წუთი სჭირდება..

შეყვანის შემოწმება

ეს ჟღერს არა-გონების მომგვრელი, მაგრამ გაგიკვირდებათ, რამდენი API მოდის ამისათვის. შეყვანის დადასტურება არა მხოლოდ ნიშნავს, რომ შემომავალი მონაცემები სწორი ფორმატით არის, არამედ სიურპრიზის გაკეთება შეუძლებელია. მარტივი მაგალითია SQL ინექცია, რომლის საშუალებითაც შეგიძლიათ თქვენი მონაცემების მონაცემთა ბაზის ამოღება, თუ შეკითხვის სტრიქონებს დაუშვებთ მცირედი ან არა შემოწმების საშუალებით..

კიდევ ერთი მაგალითი არის POST– ის მოთხოვნის ზომის შემოწმება და შესაბამისი შეცდომის კოდი და შეტყობინება კლიენტს. სასაცილოდ დიდი შეტევების მიღებას და გაანალიზებას მხოლოდ API ააფეთქებს.

განახორციელეთ IP მისამართის გაფილტვრა, საჭიროების შემთხვევაში

თუ შედიხართ B2B სერვისებში და თქვენს API– ს იყენებენ ბიზნესი დასახული ადგილებიდან, გაითვალისწინეთ უსაფრთხოების დამატებითი ფენის დამატება, რომელიც ზღუდავს IP მისამართს, რომელსაც შეუძლია თქვენი API– ზე წვდომა. ყოველი ახალი მდებარეობისა და ახალი კლიენტისთვის, IP მისამართის შემოწმება საჭიროა შემომავალი მოთხოვნის საწინააღმდეგოდ.

დიახ, იგი ბორბალზე აყენებს უსიამოვნებას, მაგრამ საბოლოო შედეგი გაცილებით მჭიდრო უსაფრთხოებაა, ვიდრე სხვაგვარად მიიღწევა.

API დაცვის გაზრდის ინსტრუმენტები

არის თუ არა ინსტრუმენტები, რომლებიც დაგვეხმარება დაუცველების სკანირება, ან კიდევ უკეთესი, რომ თავდაცვის პირველი ხაზი გვთავაზობს, როდესაც საქმე API იქნება.?

საბედნიეროდ, დიახ. არსებობს რამდენიმე ინსტრუმენტი, რომელთა გამოყენება შეგიძლიათ, მაგრამ გაფრთხილდით, რომ დღის ბოლოს უსაფრთხოების სტრატეგია არ არის სრულყოფილი. ამის თქმით, ამ ინსტრუმენტებმა შეიძლება მრავალჯერ გაზარდონ თქვენი API უსაფრთხოება, ამიტომ მათი გამოყენება რეკომენდებულია.

მეტასპლოიტა

მეტასპლოიტა არის ძალზე პოპულარული ღია კოდის ჩარჩო ვებ – პროგრამებისა და API– ების შეღწევადობის შესამოწმებლად. მას შეუძლია თქვენი API სკანირება სხვადასხვა პარამეტრზე და გააკეთოს ამომწურავი უსაფრთხოების აუდიტი სხვადასხვა დონის დაუცველობაზე.

მაგალითად, Metasploit- ის მიერ ჩატარებული უსაფრთხოების სკანირება შეიძლება გითხრათ, აძლევთ თუ არა თქვენს API ხელმოწერებს ძირითადი ტექნოლოგიები და ოპერაციული სისტემა, თუ არა; ამის დამალვა ხშირად API– ს უსაფრთხოებაში გამარჯვებული ბრძოლის ნახევარია.

მიუხედავად იმისა, რომ ღია წყაროს ძირითადი ჩარჩო ზოგადად საკმარისია, Metasploit– ის თავზე აშენებულია შესანიშნავი ფასიანი პროდუქტები, რომელთა ნახვაც ღირს. პრო გეგმა შესანიშნავია, თუ გსურთ Premium მხარდაჭერა და გამოიყენებთ ჩარჩოს სიღრმისეულად, მაგრამ ზოგადად არ არის აუცილებელი, თუ თქვენი გუნდი საკმარისად გამოცდილია..

Cloudflare

არა მხოლოდ CDN, არამედ Cloudflare გთავაზობთ უამრავ უსაფრთხოების მახასიათებელს, როგორიცაა WAF, განაკვეთის შეზღუდვა, DDoS დაცვა, რაც აუცილებელი იქნება თქვენი API უსაფრთხოების დაცვით ონლაინ საფრთხეებისგან.

ნეტსპარკერი

ნეტსპარკერი გააჩნია USP “მტკიცებულებებზე დაფუძნებული სკანირება”. უფრო მარტივი სიტყვებით, ხშირად შესაძლებელია, რომ არარეგულარული ქსელის პირობები ან ზოგიერთი ნაკლებად ცნობილი API ქცევები განიხილებოდეს, როგორც უსაფრთხოების გზაჯვარედინები, რომლებიც მოგვიანებით აღმოჩნდა, რომ არასწორია.

ეს ხარჯავს რესურსებს, რადგან ყველა ცნობილ დაუცველობას ხელმეორედ უნდა დაუკონტროლოთ ხელი, რათა დაადასტუროს, რომ ისინი არ არიან ცრუ დადებითი. Netsparker ამბობს, რომ ინსტრუმენტი საშუალებას მოგცემთ მოგაწოდოთ ცნობების კონცეფციის ძლიერი მტკიცებულება, აღმოფხვრის ეჭვები ნაპოვნი სუსტი კავშირების შესახებ.

მათ კომპანიებთან, როგორიცაა Sony, Religare, Coca-Cola, Huawei და ა.შ., შეგიძლიათ დარწმუნებული იყოთ, რომ ეს ხალხი სწორად მუშაობს. The სხვათა შორის, მათ ასევე აქვთ წარმოუდგენელი ვებ უსაფრთხოების ბლოგი რაც უნდა დაიცვას.

SoapUI Pro

აშენდა SmartBear– ის მიერ, SoapUI Pro არის ინტუიციური და მარტივი გზა API ტესტების შესაქმნელად და მათზე ზუსტი, მონაცემთა დამყარებული დასკვნების მისაღებად. იგი ასევე ინტეგრირდება თქვენს CI / CD მილსადენთან, დარწმუნდით, რომ ახალი კოდი დამატებები არ დაარღვევს თქვენი API- ს უსაფრთხოებას..

SoapUI- ს შეუძლია მუშაობა Swagger, OAS და სხვა პოპულარულ API სტანდარტებთან, რაც მნიშვნელოვნად ამცირებს დაწყების დროზე. ისეთი კლიენტებისთვის, როგორიცაა Microsoft, Cisco, MasterCard, Oracle და ა.შ., და გეგმავს წელიწადში 659 აშშ დოლარიდან დაწყებას, ეს არის ღირსეული ინსტრუმენტი უფრო უსაფრთხო API– ებისთვის..

ნდობის ტალღა

ნდობის ტალღა არის გადაწყვეტილებების კომპლექტი, რომელიც ემყარება უსაფრთხოების სკანირებასა და გამკვრივებას. ამ სერვისის ერთ – ერთი უნიკალური რამ ის არის, რომ ის არა მხოლოდ ახდენს საფრთხის ზუსტი გამოვლენას თქვენს API- ში, არამედ დაგეხმარებათ გაიგოთ, თუ როგორ უნდა ამოიღოთ ისინი.

Trustwave ასრულებს იმას, რასაც უწოდებს კონტექსტის შემსწავლელ სკანირებას, რაც ნიშნავს, რომ მას შემდეგ რაც ძირითადი ოპერაციული სისტემა ან ინფრასტრუქტურა გამოვლინდა, მომსახურების შესრულება დაკავშირებულია შემოწმების სერიას, რომ დარწმუნდეთ, რომ ამ პლატფორმასთან დაკავშირებული უსიამოვნო უსაფრთხოების ხვრელები არ არსებობს..

ისინი ასევე ამაყობენ უსაფრთხოების მკვლევარების ძლიერი გუნდით, რომლებიც მუდმივად განაახლებენ სამსახურის შესაძლებლობებს. თუ დიდი პასუხისმგებლობა არ გაქვთ, Trustwave კარგი გამოსავალია.

თუ თქვენ ცხოვრობთ რიცხვებით და გსურთ ისიამოვნოთ ისეთი თვისებებით, როგორიცაა საფრთხის პასუხი, ერთი დაჭერით ხელახლა გაშვება ტესტების გამოსწორების შემდეგ და ა.შ., აღარ იხედოთ!

არსებობს ნაკლებობა API უსაფრთხოების ინსტრუმენტები ბაზარზე, იქნება ეს ღია წყარო, უფასო ან კომერციული, ან რომელიმე მათგანი. მოგეხსენებათ, რომ უფრო მეტი შეისწავლოთ და თუ რამე უკეთესს აღმოაჩენთ, გთხოვთ, დაწერეთ კომენტარებში და მოხარული ვიქნები! ��

ტეგები:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map