API在軟體開發行業中持續發揮著重要作用,使用戶體驗更加流暢,並能將數據在伺服器及終端用戶互相傳送。由於API的數據越來越有價值,威脅行為者現在經常將API用作攻擊向量,令安全專業人員更加嚴格地關注API安全。
API安全是指對API進行保護,以防止濫用和網絡攻擊的整個過程。在過去幾年中,業內已經制定了一套最佳做法,以確保API的安全性。需要注意的是,因應組織對API的價值和通過該API傳輸的數據類型,API安全的實施方式而異。儘管如此,以下10個有效保障API安全的做法,對所有企業都適用。
- 身份驗證
身份驗證能讓組織確保正確用戶可以訪問正確的數據,可通過HTTP基本身份驗證、API身份驗證金鑰配置、IdP server tokens、SAML聯合身份、API access tokens以及OAuth與OpenID進行驗證。 - 加密
有助於保持機密性,API加密可以使用標準的單向TLS或雙向互相驗證的TLS進行。 - 使用OpenID Connect的OAuth 2.0
OAuth 2.0「開放授權」是一個標準,旨在允許網站或應用程序代表用戶訪問由其他Web應用程序托管的資源。組織通常會將其API的授權和/或身份驗證委託給第三方身份提供者(IdP)。為了進一步增強安全性,可以添加OpenID Connect形式的額外身份層,用於擴展OAuth2並提供ID tokens。 - API的審計、日誌記錄和版本管理
組織應該擁有專門的團隊來監控API流量,同時確保設置了有效的故障排除流程,以減輕錯誤帶來的影響。API的版本應該有所記錄,特別是在API的路徑中,以追蹤仍在使用的API版本,並在需要時淘汰舊版本。 - API Gateway管理
API Gateway是位於客戶端和後端服務之間的工具,作為反向代理,接受 API 調用,聚合所需的服務,並採取適當的行動。API Gateway讓你省時省力,使組織能夠更輕鬆地監控和控制對 API 的訪問,並會運用圖像令數據更一目瞭然。 - 防火牆
API的防火牆應配置為兩層:第一層是DMZ(非軍事區),具有執行基本安全機制(如檢查消息大小、SQL注入和HTTP安全性)的API防火牆,可能會及早阻止入侵者;再將數據轉移到具有更高級安全功能的局域網(LAN)中。 - OWASP API 十大安全風險
OWASP API 十大安全風險是根據其影響和可利用性進行排名的十大漏洞列表,這些風險涉及到 API 的漏洞。組織需要確保對這十個 OWASP 安全風險都有相應的保護措施。 - 保護您的基礎設施
有效的API安全不僅僅涉及保護API本身,組織還應確保網絡、服務器和軟件,以及第三方服務提供商是最新的。 - 數據驗證
組織應確保在接受數據之前對所有傳入的數據進行驗證,尤其是那些意外的、大型的或來自未知來源的數據。可以使用XML和JSON模式驗證來檢查數據參數,以確保它們不具有惡意。 - API執行期保護
有助於為您的API流量建立行為基準;大致了解您API的重要部分,並利用這些知識來過濾API流量,從而保護您的API免受外部威脅,甚至低速攻擊。
文章來源:link
