Soru: Artan API tabanlı saldırılar karşısında kuruluşlar API'lerinin tehlikeye karşı dayanıklı olduğundan nasıl emin olabilirler?
Gravitee'nin kurucusu ve CEO'su Rory Blundell: Her büyüklükteki ve tüm sektörlerdeki işletmeler, iş kolu uygulamalarını birleştirmek için rutin olarak dahili API'lere ve satıcılar, müşteriler veya iş ortaklarıyla veri veya hizmet paylaşmak için harici API'lere güvenir. Tek bir API'nin birden fazla uygulamaya veya hizmete erişimi olabileceğinden, API'nin tehlikeye atılması, çok sayıda iş varlığının minimum çabayla tehlikeye atılmasının kolay bir yoludur.
API'ler popüler bir saldırı vektörü haline geldi ve API saldırılarının sıklığı şaşırtıcı derecede arttı %681, yakın zamana göre Salt Labs'tan araştırma. API'lerinizi güvence altına almanın ilk adımı, OWASP'ın sunduğu uygulamalar gibi en iyi uygulamaları takip etmektir. Yaygın API güvenlik risklerine karşı korunmayı önerir.
Ancak temel API güvenlik uygulamaları, BT kaynaklarını güvende tutmak için yeterli değildir. İşletmeler API'lerini korumak için aşağıdaki ek adımları atmalıdır.
1. Risk Tabanlı Kimlik Doğrulamayı Benimseyin
İşletmeler, artan risk durumlarında güvenlik korumalarının uygulanmasına olanak tanıyan risk tabanlı kimlik doğrulama politikalarını benimsemelidir. Örneğin, öngörülebilir bir modeli izleyen meşru istekler yayınlama konusunda uzun bir geçmişi olan bir API istemcisinin, daha önce hiç bağlanmamış yeni bir istemciyle her istek için aynı düzeyde kimlik doğrulamadan geçmesi gerekmeyebilir. Ancak uzun süreli API istemcisinin erişim düzeni değişirse (örneğin, istemci aniden farklı bir IP adresinden istekler göndermeye başlarsa), daha sıkı kimlik doğrulama gerektirmek, isteklerin güvenliği ihlal edilmiş bir istemciden gelmemesini sağlamanın akıllıca bir yolu olacaktır.
2. Biyometrik Kimlik Doğrulama Ekleyin
Belirteçler, istemcilerin ve isteklerin kimliğini doğrulamanın temel aracı olarak önemini korusa da, çalınabilir. Bu nedenle, belirteç tabanlı kimlik doğrulamayı biyometrik kimlik doğrulamayla birleştirmek, API güvenliğini artırmanın akıllı bir yoludur. Geliştiriciler, API belirtecine sahip olan herkesin geçerli bir kullanıcı olduğunu varsaymak yerine, kullanıcıların en azından yüksek riskli bağlamlarda parmak izi, yüz taraması veya benzer bir yöntem kullanarak kimlik doğrulaması yapmasını sağlayacak şekilde uygulamalar tasarlamalıdır.
3. Kimlik Doğrulamayı Dışarıdan Zorunlu Hale Getirin
API kimlik doğrulama şemalarınız ne kadar karmaşık olursa, uygulamanızın kendi içinde güvenlik gereksinimlerini uygulamak da o kadar zor olur. Bu nedenle geliştiriciler, API güvenlik kurallarını uygulama mantığından ayırmaya çalışmalı ve bunun yerine güvenlik gereksinimlerini uygulamak için API ağ geçitleri gibi harici araçları kullanmalıdır. Bu yaklaşım, API güvenlik politikalarını daha ölçeklenebilir ve esnek hale getirir çünkü uygulama kaynak kodu yerine API ağ geçitleri içerisinde kolayca uygulanıp güncellenebilir. Ve en önemlisi, farklı risk profillerine göre farklı kullanıcılara veya isteklere farklı kurallar uygulamanıza olanak tanır.
4. API Güvenliğini Kullanılabilirlikle Dengeleyin
Güvenliğin kullanılabilirliğin düşmanı olmasına izin vermemek önemlidir. API kimlik doğrulama önlemlerini çok müdahaleci veya külfetli hale getirirseniz kullanıcılarınız API'lerinizi terk edebilir ve bu da olmasını istediğiniz şeyin tam tersi olabilir. Gerektiğinde API güvenlik kurallarının katı olmasını sağlayarak ancak gereksiz gereksinimler getirmeden bunu önleyin.
API'leri hedef alan saldırılar herhangi bir yavaşlama belirtisi göstermiyor. Geliştiricilerin, API'leri tasarlarken ve güvence altına alırken, API'den yararlanmayı zorlaştırmak için OWASP önerilerinin ötesine geçmesi gerekir.
