एपीआई को अधिक सुरक्षित बनाने के कुछ तरीके क्या हैं? प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

एपीआई को अधिक सुरक्षित बनाने के कुछ तरीके क्या हैं?

समय टिकट: 4 जनवरी, 2023 शाम 1:33 बजे

प्रश्न: बढ़ते एपीआई-आधारित हमलों के सामने संगठन कैसे सुनिश्चित कर सकते हैं कि उनके एपीआई समझौता करने के लिए प्रतिरोधी हैं?

ग्रेविटी के संस्थापक और सीईओ रोरी ब्लंडेल: सभी आकार और सभी उद्योगों के व्यवसाय अपने लाइन-ऑफ़-बिजनेस ऐप्स को एकजुट करने के लिए नियमित रूप से आंतरिक एपीआई पर भरोसा करते हैं, और विक्रेताओं, ग्राहकों या भागीदारों के साथ डेटा या सेवाओं को साझा करने के लिए बाहरी एपीआई पर निर्भर करते हैं। क्योंकि एक एकल एपीआई के पास कई अनुप्रयोगों या सेवाओं तक पहुंच हो सकती है, एपीआई से समझौता करना न्यूनतम प्रयास के साथ व्यावसायिक संपत्तियों के व्यापक सेट से समझौता करने का एक आसान तरीका है।

एपीआई एक लोकप्रिय हमला वेक्टर बन गया है, और एपीआई हमलों की आवृत्ति आश्चर्यजनक रूप से बढ़ गई है 681% तक , हाल के अनुसार साल्ट लैब्स से शोध. अपने API को सुरक्षित करने में पहला कदम सर्वोत्तम प्रथाओं का पालन करना है, जैसे कि OWASP सामान्य एपीआई सुरक्षा जोखिमों से बचाव की सिफारिश करता है.

हालांकि, आईटी संसाधनों को सुरक्षित रखने के लिए बुनियादी एपीआई सुरक्षा प्रथाएं पर्याप्त नहीं हैं। व्यवसायों को अपने API की सुरक्षा के लिए निम्नलिखित अतिरिक्त कदम उठाने चाहिए।

1. जोखिम-आधारित प्रमाणीकरण अपनाएं

व्यवसायों को जोखिम-आधारित प्रमाणीकरण नीतियां अपनानी चाहिए, जो बढ़े हुए जोखिम के मामलों में सुरक्षा सुरक्षा लागू करने की अनुमति देती हैं। उदाहरण के लिए, एक एपीआई क्लाइंट जिसका एक अनुमानित पैटर्न का पालन करने वाले वैध अनुरोध जारी करने का एक लंबा रिकॉर्ड है, को प्रत्येक अनुरोध के लिए प्रमाणीकरण के समान स्तर से गुजरने की आवश्यकता नहीं हो सकती है क्योंकि एक नया क्लाइंट जो पहले कभी कनेक्ट नहीं हुआ है। लेकिन अगर लंबे समय तक एपीआई क्लाइंट का एक्सेस पैटर्न बदलता है - उदाहरण के लिए, क्लाइंट अचानक एक अलग आईपी पते से अनुरोध जारी करना शुरू कर देता है - अधिक कठोर प्रमाणीकरण की आवश्यकता यह सुनिश्चित करने का एक स्मार्ट तरीका होगा कि अनुरोध किसी समझौता किए गए क्लाइंट से नहीं आते हैं।

2. बायोमेट्रिक प्रमाणीकरण जोड़ें

यद्यपि टोकन ग्राहकों और अनुरोधों को प्रमाणित करने के मूल साधन के रूप में महत्वपूर्ण हैं, फिर भी वे चोरी किया जा सकता है. उस कारण से, बॉयोमीट्रिक प्रमाणीकरण के साथ टोकन-आधारित प्रमाणीकरण को जोड़ना एपीआई सुरक्षा को बढ़ाने का एक स्मार्ट तरीका है। यह मानने के बजाय कि एपीआई टोकन रखने वाला कोई भी व्यक्ति एक वैध उपयोगकर्ता है, डेवलपर्स को एप्लिकेशन डिजाइन करना चाहिए ताकि उपयोगकर्ताओं को कम से कम उच्च जोखिम वाले संदर्भों में उंगलियों के निशान, चेहरे के स्कैन या इसी तरह की विधि का उपयोग करके प्रमाणित करना पड़े।

3. प्रमाणीकरण को बाहरी रूप से लागू करें

आपकी एपीआई प्रमाणीकरण योजनाएँ जितनी जटिल होंगी, आपके आवेदन में ही सुरक्षा आवश्यकताओं को लागू करना उतना ही कठिन होगा। उस कारण से, डेवलपर्स को एपीआई सुरक्षा नियमों को एप्लिकेशन लॉजिक से अलग करने का प्रयास करना चाहिए और इसके बजाय सुरक्षा आवश्यकताओं को लागू करने के लिए एपीआई गेटवे जैसे बाहरी उपकरणों का उपयोग करना चाहिए। यह दृष्टिकोण एपीआई सुरक्षा नीतियों को अधिक स्केलेबल और लचीला बनाता है क्योंकि उन्हें एप्लिकेशन स्रोत कोड के बजाय एपीआई गेटवे के भीतर आसानी से लागू और अपडेट किया जा सकता है। और सबसे महत्वपूर्ण बात, यह आपको अलग-अलग उपयोगकर्ताओं के लिए अलग-अलग नियम लागू करने या अलग-अलग जोखिम प्रोफाइल के आधार पर अनुरोध करने देता है।

4. उपयोगिता के साथ बैलेंस एपीआई सुरक्षा

यह महत्वपूर्ण है कि सुरक्षा को प्रयोज्यता का दुश्मन न बनने दें। यदि आप एपीआई प्रमाणीकरण उपायों को बहुत दखल देने वाला या बोझिल बनाते हैं, तो आपके उपयोगकर्ता आपके एपीआई को छोड़ सकते हैं, जो कि आप जो करना चाहते हैं उसके विपरीत है। यह सुनिश्चित करके इससे बचें कि जब कोई कारण हो तो एपीआई सुरक्षा नियम सख्त हैं, लेकिन अनावश्यक आवश्यकताओं को लागू किए बिना।

एपीआई को लक्षित करने वाले हमले धीमा होने का कोई संकेत नहीं दिखाते हैं। एपीआई को डिजाइन और सुरक्षित करते समय, डेवलपर्स को एपीआई का फायदा उठाने के लिए कठिन बनाने के लिए ओडब्ल्यूएएसपी सिफारिशों से परे जाना चाहिए।

समय टिकट:

से अधिक डार्क रीडिंग