มีวิธีใดบ้างที่จะทำให้ API ปลอดภัยยิ่งขึ้น

คำถาม: องค์กรต่างๆ จะแน่ใจได้อย่างไรว่า API ของตนทนต่อการถูกบุกรุก เมื่อต้องเผชิญกับการโจมตีตาม API ที่เพิ่มขึ้น

Rory Blundell ผู้ก่อตั้งและ CEO ของ Gravitee: ธุรกิจทุกขนาดและในทุกอุตสาหกรรมมักจะพึ่งพา API ภายในเพื่อรวมแอปสายงานธุรกิจของตนเข้าด้วยกัน และใช้ API ภายนอกเพื่อแบ่งปันข้อมูลหรือบริการกับผู้ขาย ลูกค้า หรือคู่ค้า เนื่องจาก API เดียวอาจเข้าถึงแอปพลิเคชันหรือบริการหลายรายการ การประนีประนอม API จึงเป็นวิธีที่ง่ายในการประนีประนอมสินทรัพย์ทางธุรกิจในวงกว้างโดยใช้ความพยายามน้อยที่สุด

API ได้กลายเป็นเวกเตอร์โจมตียอดนิยม และความถี่ของการโจมตี API ก็เพิ่มขึ้นอย่างน่าตกใจ ลด 681%ตามล่าสุด การวิจัยจาก Salt Labs. ขั้นตอนแรกในการรักษาความปลอดภัย API ของคุณคือการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด เช่น OWASP แนะนำให้ป้องกันความเสี่ยงด้านความปลอดภัย API ทั่วไป.

อย่างไรก็ตาม หลักปฏิบัติด้านความปลอดภัยของ API ขั้นพื้นฐานนั้นไม่เพียงพอที่จะรักษาทรัพยากรด้านไอทีให้ปลอดภัย ธุรกิจควรทำตามขั้นตอนเพิ่มเติมต่อไปนี้เพื่อปกป้อง API ของตน

1. ใช้การรับรองความถูกต้องตามความเสี่ยง

ธุรกิจควรใช้นโยบายการรับรองความถูกต้องตามความเสี่ยง ซึ่งอนุญาตให้บังคับใช้การป้องกันความปลอดภัยในกรณีที่มีความเสี่ยงสูง ตัวอย่างเช่น ไคลเอ็นต์ API ที่มีประวัติยาวนานในการออกคำขอที่ถูกต้องตามรูปแบบที่คาดเดาได้อาจไม่จำเป็นต้องผ่านการรับรองความถูกต้องในระดับเดียวกันสำหรับแต่ละคำขอเหมือนกับไคลเอนต์ใหม่ที่ไม่เคยเชื่อมต่อมาก่อน แต่ถ้ารูปแบบการเข้าถึงของไคลเอนต์ API ที่ใช้งานมานานเปลี่ยนไป เช่น ถ้าจู่ๆ ไคลเอนต์เริ่มออกคำขอจากที่อยู่ IP อื่น การต้องการการรับรองความถูกต้องที่เข้มงวดมากขึ้นจะเป็นวิธีที่ชาญฉลาดเพื่อให้แน่ใจว่าคำขอไม่ได้มาจากไคลเอ็นต์ที่ถูกบุกรุก

2. เพิ่มการตรวจสอบไบโอเมตริกซ์

แม้ว่าโทเค็นยังคงมีความสำคัญในฐานะวิธีการพื้นฐานในการตรวจสอบลูกค้าและคำขอ สามารถถูกขโมยได้. ด้วยเหตุผลดังกล่าว การรวมการรับรองความถูกต้องด้วยโทเค็นเข้ากับการรับรองความถูกต้องด้วยไบโอเมตริกจึงเป็นวิธีที่ชาญฉลาดในการปรับปรุงความปลอดภัยของ API แทนที่จะคิดว่าใครก็ตามที่มีโทเค็น API เป็นผู้ใช้ที่ถูกต้อง นักพัฒนาควรออกแบบแอปพลิเคชันเพื่อให้ผู้ใช้ตรวจสอบความถูกต้องด้วยลายนิ้วมือ สแกนใบหน้า หรือวิธีการที่คล้ายกัน อย่างน้อยก็ในบริบทที่มีความเสี่ยงสูง

3. บังคับใช้การรับรองความถูกต้องจากภายนอก

ยิ่งรูปแบบการตรวจสอบสิทธิ์ API ของคุณซับซ้อนมากขึ้นเท่าใด การบังคับใช้ข้อกำหนดด้านความปลอดภัยภายในแอปพลิเคชันของคุณก็ยิ่งยากขึ้นเท่านั้น ด้วยเหตุผลดังกล่าว นักพัฒนาควรพยายามแยกกฎความปลอดภัย API ออกจากตรรกะของแอปพลิเคชัน และใช้เครื่องมือภายนอกแทน เช่น เกตเวย์ API เพื่อบังคับใช้ข้อกำหนดด้านความปลอดภัย วิธีการนี้ทำให้นโยบายการรักษาความปลอดภัย API ปรับขนาดได้และยืดหยุ่นมากขึ้น เนื่องจากสามารถติดตั้งและอัปเดตได้อย่างง่ายดายภายในเกตเวย์ API แทนที่จะใช้ซอร์สโค้ดของแอปพลิเคชัน และที่สำคัญที่สุดคือ คุณสามารถใช้กฎที่แตกต่างกันกับผู้ใช้หรือคำขอที่แตกต่างกันตามโปรไฟล์ความเสี่ยงที่แตกต่างกัน

4. ปรับสมดุลความปลอดภัย API กับการใช้งาน

สิ่งสำคัญคือต้องไม่ปล่อยให้ความปลอดภัยกลายเป็นศัตรูของความสามารถในการใช้งาน หากคุณทำให้มาตรการตรวจสอบสิทธิ์ API ก้าวก่ายหรือเป็นภาระมากเกินไป ผู้ใช้ของคุณอาจละทิ้ง API ของคุณ ซึ่งตรงข้ามกับสิ่งที่คุณต้องการให้เกิดขึ้น หลีกเลี่ยงสิ่งนี้โดยตรวจสอบให้แน่ใจว่ากฎความปลอดภัยของ API เข้มงวดเมื่อมีเหตุผล แต่ไม่มีการกำหนดข้อกำหนดที่ไม่จำเป็น

การโจมตีที่กำหนดเป้าหมาย APIs ไม่มีสัญญาณของการชะลอตัว เมื่อออกแบบและรักษาความปลอดภัยของ API นักพัฒนาควรทำมากกว่าคำแนะนำของ OWASP เพื่อให้ใช้ประโยชน์จาก API ได้ยากขึ้น