API整體安全策略的6項原則

來源:F5科技
作者:F5科技
時間:2024-01-17
1460
用戶體驗是應用程序的門面,而API則是企業(yè)的支柱。許多企業(yè)過去常犯的一個錯誤是將API視為應用程序的接口。在本文中,我們將探討全面綜合的API安全方法的6項原則。

前言:用戶體驗是應用程序的門面,而API則是企業(yè)的支柱。許多企業(yè)過去常犯的一個錯誤是將API視為應用程序的接口。在本文中,我們將探討全面綜合的API安全方法的6項原則。

01

了解您的API和端點

即使您嘗試,也很有可能無法立即識別環(huán)境中的每個API端點。但不幸的是,您可能無法對惡意行為者說同樣的話。如果端點存在,它就可以被用作入侵途徑。

此外,提供公共API還會讓您接收來自無數客戶、合作伙伴和應用程序的查詢。這也會使您的企業(yè)受到攻擊。為了保護您的企業(yè)免受攻擊,防止出現漏洞和欺詐,需要考慮一些風險控制措施。

02

在創(chuàng)新與安全之間找到平衡

這是一場曠日持久的戰(zhàn)斗。一方面,任何成功企業(yè)的基石都是大膽創(chuàng)新、突破界限、做競爭對手做不到的事情。但另一方面,保持安全并不總是與最新的創(chuàng)新相匹配。

為每種類型的API設計API治理策略,以便設置適當的安全控制措施。

實施在部署API的任何地方都能一致執(zhí)行的API安全策略。

利用AI以應對新出現的威脅、異常行為以及試圖利用或濫用API的惡意用戶,從而減少安全團隊的負擔。

根據您所在的行業(yè),合規(guī)性標準會有所不同,有些要求相比其他行業(yè)而言,安全性需求更為嚴格。無論如何,API安全態(tài)勢必須足夠強大,能夠面對一連串的威脅載體。

03

在整個開發(fā)周期內管控風險

API安全測試并非一次性試驗。在部署前、部署期間以及部署后進行測試都至關重要。您可以通過在開發(fā)的每個階段開展測試,獲得更多機會,以在漏洞發(fā)生之前發(fā)現弱點和漏洞。雖然特定的安全測試工具十分有效,但切勿忘記安全用例建模。

640.jpg

04

從后端到終端客戶的層層保護

從外部客戶端到內部、后端基礎設施,架構的每部分都必須有各自的保護措施。

640 (1).jpg

在考慮API層的保護問題時,首先將API分為“內部和外部”這兩類十分有用。內部API的安全更直接,因為API提供者可以與應用團隊協(xié)調安全措施。對于外部API,風險計算有些不同。但這并不意味著您運氣不佳。您仍然可以(且應該)實施API級別的保護,只需采取下列三項行動:

通過實時威脅情報和訪問控制機制(例如加固的會話令牌),減少安全漏洞的機會。

建立正常和異常的流量模式基線。

限制API使用,并對任何獲批的聚合商提供精細控制。

在生產層面,來自API蔓延的巨大流量使得有必要使用人工智能來檢測異常行為和惡意用戶。

05

擁有適當的策略和工具

就像沒有一種食物能讓我們獲得充分營養(yǎng)一樣,沒有一種安全工具能完全保護API。相反,作為整體安全架構的一部分,您需要制定一項策略,部署全面的工具生態(tài)系統(tǒng)。

應考慮的工具包括:

·API網關

·應用安全測試(SAST和DAST)

·WAF

·Bot管理

此外,API發(fā)現和微分段是重要的生態(tài)系統(tǒng)能力。

640 (2).jpg

06

將安全性納入開發(fā)和部署流水線

您可能已經了解到,由于技術、層、設計和所用API的上下文多樣性,API安全可能變得十分復雜。不過,有些方法可以減輕這種復雜性。

當您接近API安全態(tài)勢時,首先退后一步,了解一下全局。

安全需要在應用本身的同一連續(xù)生命周期中運行,這意味著要與CI/CD流水線、服務預配和事件監(jiān)控生態(tài)系統(tǒng)緊密集成。

此外,屢試不爽的安全實踐仍然適用-默認拒絕架構、強加密和最低權限訪問。

立即登錄,閱讀全文
原文鏈接:點擊前往 >
版權說明:本文內容來自于F5科技,本站不擁有所有權,不承擔相關法律責任。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯系管理員(zzx@kchuhai.com)刪除!
優(yōu)質服務商推薦
更多
掃碼登錄
打開掃一掃, 關注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
個人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務合作
商務合作
投稿采訪
投稿采訪
出海管家
出海管家