Kakšni so nekateri načini za večjo varnost API-jev?

Vprašanje: Kako lahko organizacije zagotovijo, da so njihovi API-ji odporni na ogrožanje glede na vse pogostejše napade, ki temeljijo na API-jih?

Rory Blundell, ustanovitelj in izvršni direktor podjetja Gravitee: Podjetja vseh velikosti in v vseh panogah se redno zanašajo na notranje API-je, da združijo svoje poslovne aplikacije, in na zunanje API-je, da delijo podatke ali storitve s prodajalci, strankami ali partnerji. Ker ima lahko en API dostop do več aplikacij ali storitev, je ogrožanje API-ja preprost način za ogrožanje širokega nabora poslovnih sredstev z minimalnim naporom.

API-ji so postali priljubljen vektor napadov in pogostost napadov API-jev se je osupljivo povečala 681%, po zadnjih raziskave Salt Labs. Prvi korak pri zaščiti vaših API-jev je upoštevanje najboljših praks, na primer tistih, ki jih OWASP priporoča zaščito pred običajnimi varnostnimi tveganji API.

Vendar osnovne varnostne prakse API-ja ne zadoščajo za varnost virov IT. Podjetja bi morala sprejeti naslednje dodatne korake za zaščito svojih API-jev.

1. Sprejmite avtentikacijo na podlagi tveganja

Podjetja bi morala sprejeti politike preverjanja pristnosti na podlagi tveganja, ki omogočajo uveljavljanje varnostne zaščite v primerih povečanega tveganja. Na primer, odjemalcu API z dolgoletno evidenco izdajanja legitimnih zahtev, ki sledijo predvidljivemu vzorcu, morda ne bo treba iti skozi isto raven preverjanja pristnosti za vsako zahtevo kot novemu odjemalcu, ki se še nikoli ni povezal. Toda če se vzorec dostopa dolgoletnega odjemalca API-ja spremeni – če na primer odjemalec nenadoma začne izdajati zahteve z drugega naslova IP – bi bila zahteva po strožjem preverjanju pristnosti pameten način za zagotovitev, da zahteve ne prihajajo od ogroženega odjemalca.

2. Dodajte biometrično avtentikacijo

Čeprav žetoni ostajajo pomembni kot osnovno sredstvo za preverjanje pristnosti strank in zahtev, so lahko ukradejo. Iz tega razloga je spajanje avtentikacije na podlagi žetonov z biometrično avtentikacijo pameten način za izboljšanje varnosti API-ja. Namesto da bi predvidevali, da je vsakdo, ki ima žeton API, veljaven uporabnik, bi morali razvijalci oblikovati aplikacije tako, da se morajo uporabniki preverjati tudi s prstnimi odtisi, skeniranjem obraza ali podobno metodo, vsaj v kontekstih z večjim tveganjem.

3. Uveljavite zunanje preverjanje pristnosti

Bolj ko postanejo vaše sheme za preverjanje pristnosti API-ja zapletene, težje je uveljaviti varnostne zahteve v sami aplikaciji. Iz tega razloga bi si morali razvijalci prizadevati ločiti varnostna pravila API-ja od logike aplikacije in namesto tega uporabiti zunanja orodja, kot so prehodi API-ja, za uveljavljanje varnostnih zahtev. S tem pristopom so varnostne politike API-ja bolj razširljive in prilagodljive, ker jih je mogoče preprosto implementirati in posodobiti znotraj prehodov API-ja, namesto prek izvorne kode aplikacije. In kar je najpomembnejše, omogoča uporabo različnih pravil za različne uporabnike ali zahteve na podlagi različnih profilov tveganja.

4. Uravnotežite varnost API z uporabnostjo

Pomembno je, da varnost ne postane sovražnik uporabnosti. Če naredite ukrepe za preverjanje pristnosti API-ja preveč vsiljive ali obremenjujoče, lahko vaši uporabniki opustijo vaše API-je, kar je nasprotno od tega, kar želite. Temu se izognite tako, da zagotovite, da so varnostna pravila API-ja stroga, kadar za to obstaja razlog, vendar brez nalaganja nepotrebnih zahtev.

Napadi, ki ciljajo na API-je, ne kažejo znakov upočasnitve. Pri načrtovanju in varovanju API-jev bi morali razvijalci preseči priporočila OWASP, da bi otežili izkoriščanje API-ja.