APIs کو مزید محفوظ بنانے کے کچھ طریقے کیا ہیں؟ پلیٹو بلاکچین ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

APIs کو مزید محفوظ بنانے کے کچھ طریقے کیا ہیں؟

ٹائم سٹیمپ: 4 جنوری 2023 1:33 PM

سوال: تنظیمیں اس بات کو کیسے یقینی بنا سکتی ہیں کہ API پر مبنی بڑھتے ہوئے حملوں کی صورت میں ان کے API سمجھوتے کے خلاف مزاحم ہیں؟

Rory Blundell، Gravitee کے بانی اور CEO: تمام سائز اور تمام صنعتوں کے کاروبار معمول کے مطابق اپنی لائن آف بزنس ایپس کو متحد کرنے کے لیے اندرونی APIs پر اور وینڈرز، کسٹمرز، یا پارٹنرز کے ساتھ ڈیٹا یا سروسز کا اشتراک کرنے کے لیے بیرونی APIs پر انحصار کرتے ہیں۔ چونکہ ایک API کو متعدد ایپلیکیشنز یا خدمات تک رسائی حاصل ہو سکتی ہے، API سے سمجھوتہ کرنا کم سے کم کوشش کے ساتھ کاروباری اثاثوں کے وسیع سیٹ سے سمجھوتہ کرنے کا ایک آسان طریقہ ہے۔

APIs ایک مقبول حملہ ویکٹر بن چکے ہیں، اور API حملوں کی تعدد میں حیران کن اضافہ ہوا ہے۔ 681٪، حالیہ کے مطابق سالٹ لیبز سے تحقیق. اپنے APIs کو محفوظ بنانے کا پہلا قدم بہترین طریقوں پر عمل کرنا ہے، جیسے کہ OWASP عام API سیکورٹی خطرات سے بچانے کی تجویز کرتا ہے۔.

تاہم، بنیادی API سیکورٹی کے طریقے IT وسائل کو محفوظ رکھنے کے لیے کافی نہیں ہیں۔ کاروباروں کو اپنے APIs کی حفاظت کے لیے درج ذیل اضافی اقدامات کرنے چاہئیں۔

1. رسک پر مبنی توثیق کو اختیار کریں۔

کاروباروں کو خطرے پر مبنی توثیق کی پالیسیاں اپنانی چاہئیں، جو خطرے میں اضافے کی صورت میں حفاظتی تحفظات کو نافذ کرنے کی اجازت دیتی ہیں۔ مثال کے طور پر، ایک API کلائنٹ جس کے پاس جائز درخواستیں جاری کرنے کا طویل ریکارڈ ہے جو کہ ایک پیشین گوئی کے نمونے کی پیروی کرتا ہے، ہو سکتا ہے کہ اسے ہر درخواست کے لیے تصدیق کی اسی سطح سے گزرنے کی ضرورت نہ ہو جیسا کہ ایک نئے کلائنٹ نے پہلے کبھی رابطہ نہیں کیا۔ لیکن اگر دیرینہ API کلائنٹ کی رسائی کا نمونہ تبدیل ہو جاتا ہے - اگر، مثال کے طور پر، کلائنٹ اچانک ایک مختلف IP ایڈریس سے درخواستیں جاری کرنا شروع کر دیتا ہے - زیادہ سخت تصدیق کی ضرورت اس بات کو یقینی بنانے کا ایک زبردست طریقہ ہو گا کہ درخواستیں کسی سمجھوتہ شدہ کلائنٹ سے نہ آئیں۔

2. بایومیٹرک تصدیق شامل کریں۔

اگرچہ ٹوکن کلائنٹس اور درخواستوں کی تصدیق کے بنیادی ذریعہ کے طور پر اہم رہتے ہیں، وہ چوری کیا جا سکتا ہے. اس وجہ سے، بائیو میٹرک تصدیق کے ساتھ ٹوکن پر مبنی توثیق کو جوڑنا API سیکورٹی کو بڑھانے کا ایک زبردست طریقہ ہے۔ یہ ماننے کے بجائے کہ کوئی بھی جس کے پاس API ٹوکن ہے وہ ایک درست صارف ہے، ڈویلپرز کو ایپلی کیشنز کو ڈیزائن کرنا چاہیے تاکہ صارفین کو بھی فنگر پرنٹس، چہرے کے اسکین، یا اسی طرح کے کسی طریقے سے، کم از کم زیادہ خطرے والے سیاق و سباق میں توثیق کرنی پڑے۔

3. بیرونی طور پر تصدیق کو نافذ کریں۔

آپ کی API کی توثیق کی اسکیمیں جتنی پیچیدہ ہوتی جائیں گی، آپ کی درخواست کے اندر ہی حفاظتی تقاضوں کو نافذ کرنا اتنا ہی مشکل ہوگا۔ اس وجہ سے، ڈویلپرز کو چاہیے کہ وہ ایپلیکیشن منطق سے API سیکیورٹی کے اصولوں کو الگ کرنے کی کوشش کریں اور اس کے بجائے سیکیورٹی کی ضروریات کو نافذ کرنے کے لیے بیرونی ٹولز، جیسے API گیٹ ویز کا استعمال کریں۔ یہ نقطہ نظر API سیکیورٹی پالیسیوں کو مزید توسیع پذیر اور لچکدار بناتا ہے کیونکہ انہیں آسانی سے اطلاقی سورس کوڈ کے ذریعے API گیٹ ویز کے اندر لاگو اور اپ ڈیٹ کیا جا سکتا ہے۔ اور سب سے اہم بات یہ ہے کہ یہ آپ کو مختلف صارفین پر مختلف قوانین لاگو کرنے دیتا ہے یا مختلف رسک پروفائلز کی بنیاد پر درخواست کرتا ہے۔

4. استعمال کے ساتھ API سیکیورٹی کو بیلنس کریں۔

یہ ضروری ہے کہ سلامتی کو قابل استعمال کا دشمن نہ بننے دیں۔ اگر آپ API کی توثیق کے اقدامات کو بہت زیادہ دخل اندازی یا بوجھل بناتے ہیں، تو آپ کے صارفین آپ کے APIs کو ترک کر سکتے ہیں، جو کہ آپ جو کرنا چاہتے ہیں اس کے برعکس ہے۔ اس بات کو یقینی بنا کر اس سے بچیں کہ API کے حفاظتی اصول سخت ہیں جب ان کے ہونے کی کوئی وجہ ہو، لیکن غیر ضروری تقاضے عائد کیے بغیر۔

APIs کو نشانہ بنانے والے حملے سست ہونے کے کوئی آثار نہیں دکھاتے ہیں۔ APIs کو ڈیزائن اور محفوظ کرتے وقت، ڈویلپرز کو OWASP کی سفارشات سے آگے جانا چاہیے تاکہ API کا استحصال کرنا مشکل ہو جائے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا