API(应用程序编程接口)深深融入了现代生活中. 连接在线操作的服务, 银行交易, 交通应用和社交网络, API的安全性是系统开发和实施中的一个关键方面, 由于这些接口经常成为网络攻击和漏洞的目标.
“API作为企业的入口”, 因此它们必须具有特定的安全级别. 因为它们是不同应用程序和服务之间的连接点, API可能会暴露敏感数据和关键功能,如果没有得到适当保护, 评论菲利佩·托尔基托, Sensedia的解决方案负责人, 全球领先的基于API的现代集成解决方案技术公司
根据OWASP API安全项目的第二份报告, 由全球安全专家精心制作, 在API中最常见的漏洞之一, 无限制访问敏感业务流程; 服务器上的请求伪造; 安全配置不正确; 不当的库存管理和不安全的API使用. 另一项研究, 由F5进行, 全球多云应用安全与交付公司, 提到组织管理的API平均超过400个, 许多它们在保护方面存在显著的缺口
为了帮助减少攻击的风险, Sensedia的高管列出了5个确保企业API安全的建议
1)明确职责
通常, 一个API没有特定的所有者, 而对它的责任可能会在开发它的团队之间分担, 保持她的时间, 或者甚至一个安全团队.
必须明确每个人的角色和责任, 即使在这种责任由所有人共同承担的情况下. 此外, 我推荐使用某种“护栏”, 或“保护屏障”, 确保安全的基础, 效率和治理在这些接口的开发和运营中. 这是帮助团队保持安全和质量标准的指导方针和实践, 最小化风险和避免常见错误, 说托尔奎托
2)关注良好治理实践
API使用中的治理实践对于确保安全至关重要, 合规性和效率.
它们建立了明确的指导方针,促进标准化和互操作性, 促进系统之间的集成. 此外, 治理允许对API的访问和使用进行有效控制, 保护敏感数据并降低风险
我建议公司建立一个集中化的API目录, 可见且易于访问给指定的负责人. 这可能有效, 包容的, 为再利用, 避免在开发可能已经创建的新API时的重复工作, 解释托尔奎托
此外, 正确使用身份验证和授权的方式是至关重要的, 特定于API所要解决的内容. 在应用程序的情况下, 例如, 与公众开放的API, 并且通常会遭受多次破坏尝试, 不仅需要遵循一个非常强大的身份验证和授权模型, 如何频繁进行渗透测试, 识别潜在攻击向量并确保模型正常运行, 增加执行官
3)使用人工智能作为另一层保护
在API安全中使用人工智能(IA)已成为一种越来越有效的策略,用于实时检测和缓解威胁.
机器学习算法可以分析流量模式并识别异常行为, 允许早期检测攻击, 如代码注入尝试或未经授权的访问.
必须将API的安全层视为洋葱的层次, 一个接一个, 使攻击者的生活变得困难. 这包括实施保护措施,如身份验证, 授权, 加密, 流量监测, 使用HTTPS, 甚至连人工智能, 这在这方面可能是一个很大的盟友, 说托尔奎托
人工智能可以自动化身份验证和授权过程, 提高效率和事件响应. 具有适应新威胁和从历史数据中学习的能力, 基于人工智能的解决方案使API的安全性更加主动和强大, 确保系统之间交换信息的完整性和机密性, 完整
4)投资自动化
API自动化对于提高系统开发和管理的效率和灵活性至关重要.
通过自动化测试等过程, 持续集成与部署, 团队可以减少人为错误, 加速开发周期并确保更快交付新功能
仍然, 自动化简化了API的监控和管理, 允许组织实时识别和解决问题, 提高应用程序的可靠性和性能, 并让开发人员专注于更具战略性和创造性的任务, 推动市场中的创新和竞争力
“没有自动化就不存在所需标准的安全规模. 考虑到组织管理的API平均超过400个, 建议企业拥有一个平台团队,自动化必要的工作以保持其API的安全性, 说托尔奎托
5)选择 API 提供商时要小心
选择合适的API供应商是一个关键决策,可能会直接影响公司的系统性能和安全性
选择API供应商时应考虑的一些因素包括公司的声誉和可靠性, 安全和合规实践, 支持, 可扩展性和性能. 这些注意事项将有助于确保选择一个满足您需求并为您公司成功做出贡献的API供应商, 结束
