Varnost API-jev postaja vse bolj razširjena

Kot roji opreme IoT, ki iščejo bogatejše pridobivanje podatkov iz svojih matičnih ladij v oblaku, bolj robustni – in bolj potencialno nevarni vdori – vmesniki API dobijo nov pritisk proti osrednjemu odru.

Z Googlovo varnostno pobudo API Apigee, varnost API raste. In ne gre samo za IoT. Podatki od stroja do stroja, ki stojijo za izjemno elegantnimi zasnovami UX, potrebujejo brezhibne vmesnike, ki pomagajo premikati njihove množice podatkov z manj trenja in ponujajo bolj odzivne mešanice tehnologije, pridobljene z lokacij daleč naokoli.

Toda da bi vse to "samo delovalo", ti bolj robustni vmesniki uporabljajo bolj robustne možnosti napadov, da bi potencialno posrkali podatke v neznane dele in z rekordno hitrostjo.

V zadnjem času, smo napisali o množici novih zagonskih podjetij na letošnji konferenci RSA, ki so skušali prepričati udeležence, da si zamislijo, kako zagotoviti, da se API ne začne nenadoma slabo obnašati ali počne stvari, za katere nihče ne ve, dokler ni prepozno. Ne gre samo za nas: naši prijatelji pri DarkReading naj bi sešteli naraščajoče poslovne izgube povezane z vdori v API.

In zdaj so težkokategorniki preseliti v ta prostor tudi utrjevanje varnosti API-ja kot »stvar«. Googlov Apigee Advanced API Security za Google Cloud želi organizacijam omogočiti odkrivanje napačnih konfiguracij API-jev in preprečiti zlonamerne robote, pri čemer je prvi eden glavnih krivcev varnostnih incidentov API-jev.

Na srečo obstajajo orodja ljudi, kot je Varnostni projekt OWASP API kjer lahko opravite pregled stanja lastnih API-jev ali tistih, s katerimi se povezujete, kar lahko služi kot osnova. Imajo tudi podrobne informacije o najpogostejših napačnih konfiguracijah in o tem, kako se jim izogniti, zato je odličen kraj za začetek.

Kot smo omenili v prejšnjem prispevku, je na RSA zatemnila dvorane zatemnila množica varnostnih podjetij API, tako da boste morda imeli tudi nekaj komercialnih možnosti, ki jih bo v prihodnosti še več.

Pričakujte, da se bodo vdori v API še naprej povečevali, saj se podjetja ubadajo z možnostjo, da bi zagotovila še en vmesnik, tokrat industrijskega, ki je v središču oblaka in velikih podatkov ter – če je napačno konfiguriran – lahko omogoči ogromno podatke, ki jih je treba odvajati po vsem svetu v neznane dele. Samo poskrbi, da ni vaš podatkov.