ГлавнаябезопасностьПроблемы безопасности 5 в мире API!

Проблемы безопасности 5 в мире API!

Сегодняшний интерфейс прикладного программирования (API) уже не просто фронтальный, создавая новые угрозы безопасности, а также DevOps.

API

Все API-интерфейсы внутри разные, даже если они используют те же структуры и архитектуры, что и REST. В любой архитектуре «под крышей» протоколы данных всегда разные - даже если структура одинакова.

Возможно, вы слышали конкретные стили протокола, такие как REST, JSON, XML и gRPC. На самом деле это языки форматирования данных и транспорта, которые работают в соответствии с API. Внутри этих форм существует большое разнообразие.

С точки зрения безопасности сам протокол ничего не делает. Чтобы быть эффективными, служба безопасности должна переводить язык и намерения каждого проходящего человека, а не только позволять «пассажирам» свободно перемещаться.

Вот пять проблем с точки зрения защиты API:

Нет двух похожих приложений

Чтобы защитить API, нам также нужно знать, как он был изначально разработан. Он не доступен для чтения только по коду или форматам кодирования. Это чтение и сортировка по слоям и изменениям кода, на которые влияют технологическая сложность и человеческий фактор.

Невозможно представить, как именно разработчик разработал конкретное приложение. Мы знаем, что одна из распространенных платформ API, таких как XML или gRPC, будет использоваться во многих случаях. Тем не менее, типы данных, заметки и логика реализации будут другими.

Анализ данных усложняется вариациями. Чтобы выяснить, как приложение было специально разработано, аналитикам может потребоваться много данных для декодирования. Для декодирования наиболее сложных случаев вам может понадобиться декодировать данные два или три раза. Вы можете найти JSON на одном уровне, но другое повторение того же кода в другом месте. Эти цепочки и уровни кода могут быть огромными.

Плохая связь - разгрузочный трубопровод

Чтобы создать правила защиты API, командам безопасности необходимо точно понимать, что должен делать конкретный API конечной точки и как это делать. Предполагается, что эта информация поступает от разработчиков / разработчиков DevOps, но они часто теряются из-за взаимодействия.

Чтобы понять, как должен работать API, и обеспечить его безопасность, нам нужна документация. Однако поощрение разработчиков к написанию документации API и обработке документов может быть невероятно трудным. Это делает документацию ненадежной.

Когда документация ненадежна, согласовать безопасность с целями бизнес-API сложно. Без бизнес-целей API безопасность может предотвращать или разрешать неправильные вещи. Представьте, что API должен сообщать детали доставки. Команда безопасности может предположить, что данными API будут имя и адрес получателя. Если API включает тег кода UPS или оператора, решение по обеспечению безопасности может предотвратить его атаку, поскольку почтовый адрес обычно не похож на него.

Внутренние API также нуждаются в защите

В дополнение к использованию API-интерфейсов для соединения двух разных систем, API-интерфейсы работают внутренне, реагируя на темпы и масштабы разработки API и новых технологий.

Допустим, вы решили развернуть приложение Kubernetes. Набор внутренних API-интерфейсов будет использоваться для управления отдельными микрофирмами Kubernetes и для отправки данных между отдельными контейнерами. Это создает новые проблемы безопасности и может потребовать общего обзора вашей безопасности.

Теперь ваша безопасность должна защищать как этот внутренний API, так и внешние API. В API управления вы можете добавлять пользователей и ключи или предоставлять доступ к любому серверу, что делает внутренние API уязвимыми. Это означает, что он обрабатывает их безопасность и то, как они ведут себя по отношению к другим API, поэтому равное или большее внимание следует уделять внешним подключениям.

Сервисные API создают дополнительные проблемы

Наш современный век заставляет нас переходить с физических серверов на сервисы облако, Многие из этих облачных (SaaS) сервисов позволяют потребителям подключаться через браузеры, такие как проверка вашей электронной почты на рабочем столе. Многие другие SaaS доступны только через API. Это сервисные API. И они добавили проблемы безопасности, основанные на их большом объеме данных и общих различиях в моделях безопасности и идентификации.

С помощью API сервисов две точки связи принадлежат двум разным предприятиям. Поскольку они не могут доверять друг другу, для защиты каждой стороны необходимо разработать различные модели безопасности и идентификации.

API не являются веб Приложение

API-интерфейсы ведут себя совершенно иначе, чем запросы людей в отношении веб-приложений, что требует новых способов осмысления ландшафтов безопасности.

Представьте, что мы хотим защитить логин API от статических атак на основе учетных данных и хотим заблокировать всех ботов. Однако все клиенты API разработаны как автоматизированные инструменты. Технически это заставляет их работать как боты. Например, интернет-магазин может захотеть иметь ссылки для розничных продавцов, дистрибьюторов или других конечных пользователей. Теперь, чтобы защитить API, решение по безопасности должно распознавать обычных, законных ботов (клиентов автоматизации) от нелегальных ботов. На первый взгляд, все выглядит и ведет себя с традиционными перспективами безопасности.

Мобильный доступ, который получает много трафика от технических ботов, усугубляет растущую проблему различения «хороших» и «плохих» ботов. Для запуска эти боты поступают только с некоторых внешних IP-адресов провайдеров. Защита ботов для API может показаться простым процессом, но на самом деле это огромная задача.

Проблемы безопасности связаны с тем, как быстро развивались API-интерфейсы из простых интерфейсных API-интерфейсов. Это больше не просто или обращено вперед. API в настоящее время полны человеческих отпечатков пальцев, которые растут с каждым днем. Поскольку безопасность API-интерфейсов становится все более сложной, для разработчиков будет важно решать эти проблемы безопасности по мере их создания.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ