Jakie są sposoby na zwiększenie bezpieczeństwa interfejsów API?

Pytanie: W jaki sposób organizacje mogą zapewnić odporność swoich interfejsów API na ataki w obliczu zwiększonej liczby ataków opartych na interfejsach API?

Rory Blundell, założyciel i dyrektor generalny Gravitee: Firmy różnej wielkości i we wszystkich branżach rutynowo polegają na wewnętrznych interfejsach API, aby łączyć swoje aplikacje biznesowe, oraz na zewnętrznych interfejsach API, aby udostępniać dane lub usługi dostawcom, klientom lub partnerom. Ponieważ pojedynczy interfejs API może zapewniać dostęp do wielu aplikacji lub usług, złamanie zabezpieczeń interfejsu API jest łatwym sposobem na złamanie zabezpieczeń szerokiego zestawu zasobów biznesowych przy minimalnym wysiłku.

Interfejsy API stały się popularnym wektorem ataków, a częstotliwość ataków na interfejsy API wzrosła w zdumiewający sposób 681%, według ostatnich badania z Salt Labs. Pierwszym krokiem w zabezpieczaniu interfejsów API jest przestrzeganie najlepszych praktyk, takich jak te, które OWASP zaleca ochronę przed typowymi zagrożeniami bezpieczeństwa API.

Jednak podstawowe praktyki bezpieczeństwa API nie wystarczą, aby zapewnić bezpieczeństwo zasobów IT. Firmy powinny podjąć następujące dodatkowe kroki w celu ochrony swoich interfejsów API.

1. Zastosuj uwierzytelnianie oparte na ryzyku

Firmy powinny przyjąć zasady uwierzytelniania oparte na ryzyku, które umożliwiają egzekwowanie zabezpieczeń w przypadkach podwyższonego ryzyka. Na przykład klient API z długą historią wysyłania uzasadnionych żądań, które są zgodne z przewidywalnym wzorcem, może nie wymagać tego samego poziomu uwierzytelniania dla każdego żądania, co nowy klient, który nigdy wcześniej się nie łączył. Ale jeśli wzorzec dostępu długoletniego klienta API ulegnie zmianie — na przykład klient nagle zacznie wysyłać żądania z innego adresu IP — wymaganie bardziej rygorystycznego uwierzytelniania byłoby sprytnym sposobem na zapewnienie, że żądania nie pochodzą od zhakowanego klienta.

2. Dodaj uwierzytelnianie biometryczne

Chociaż tokeny pozostają ważne jako podstawowy sposób uwierzytelniania klientów i żądań, są one nadal ważne można ukraść. Z tego powodu połączenie uwierzytelniania opartego na tokenach z uwierzytelnianiem biometrycznym to sprytny sposób na zwiększenie bezpieczeństwa API. Zamiast zakładać, że każdy, kto posiada token API, jest prawidłowym użytkownikiem, programiści powinni projektować aplikacje tak, aby użytkownicy również musieli uwierzytelniać się za pomocą odcisków palców, skanów twarzy lub podobnej metody, przynajmniej w kontekstach o wyższym ryzyku.

3. Wymuś uwierzytelnianie na zewnątrz

Im bardziej złożone stają się twoje schematy uwierzytelniania API, tym trudniej jest egzekwować wymagania bezpieczeństwa w samej aplikacji. Z tego powodu programiści powinni dążyć do oddzielenia reguł bezpieczeństwa API od logiki aplikacji i zamiast tego używać zewnętrznych narzędzi, takich jak bramy API, do egzekwowania wymagań bezpieczeństwa. Takie podejście sprawia, że ​​zasady bezpieczeństwa API są bardziej skalowalne i elastyczne, ponieważ można je łatwo wdrażać i aktualizować w bramach API, a nie za pomocą kodu źródłowego aplikacji. A co najważniejsze, pozwala stosować różne reguły do ​​różnych użytkowników lub żądań w oparciu o różne profile ryzyka.

4. Zrównoważ bezpieczeństwo API z użytecznością

Ważne jest, aby bezpieczeństwo nie stało się wrogiem użyteczności. Jeśli sprawisz, że środki uwierzytelniania API będą zbyt uciążliwe lub uciążliwe, Twoi użytkownicy mogą porzucić Twoje interfejsy API, co jest przeciwieństwem tego, czego chcesz. Unikaj tego, upewniając się, że reguły bezpieczeństwa API są surowe, gdy jest ku temu powód, ale bez nakładania zbędnych wymagań.

Ataki wymierzone w interfejsy API nie wykazują oznak spowolnienia. Projektując i zabezpieczając interfejsy API, programiści powinni wykraczać poza zalecenia OWASP, aby utrudnić wykorzystanie interfejsu API.