Bạn đang bảo mật API của mình như thế nào?


Thời đại bùng nổ của nền kinh tế kỹ thuật số và tải dữ liệu khổng lồ đang được truyền qua các API. Kinh doanh, chơi game, giáo dục, khoa học, nghệ thuật. . . bạn đặt tên cho nó, mọi thứ hoạt động trên API. Đối với một thế giới hoàn toàn phụ thuộc vào API, có rất ít sự tập trung vào bảo mật.

Đối với các nhà phát triển, mặc định của khung của họ là đủ; hoặc thậm chí tệ hơn, khi không có khung nào đang được sử dụng, họ nghĩ rằng họ đang tuân theo các thực tiễn an toàn. Đối với quản trị viên hệ thống, bảo mật mặc định được cung cấp bởi cơ sở hạ tầng hoặc nhà cung cấp dịch vụ của họ là những gì họ dựa vào.

Không phải là một cảnh đẹp, nếu bạn hỏi tôi.

Nguồn: developer.ibm.com

Không cần phải nói, có rất nhiều thứ bị đe dọa, mà chúng ta chỉ nhận ra khi có thứ gì đó thực sự khủng khiếp xảy ra.

Nhưng điều đầu tiên trước tiên. ��

Tại sao điểm cuối API an toàn?

Điều này phải là không có trí tuệ, phải không? Chúng ta cần bảo đảm các điểm cuối bởi vì, tốt, đó là những gì doanh nghiệp phụ thuộc vào.

Trong khi đó, một cuộc tranh luận đủ mạnh về bản thân, tôi muốn mở rộng quan điểm một chút và nêu bật những hậu quả liên quan khác, nhưng không kém phần nguy hiểm.

Kinh doanh thua lỗ

Đây là một trong những rõ ràng. Nếu ai đó thành công trong việc gây rối với các điểm cuối API của bạn, nó sẽ khiến mọi thứ dừng lại ở mức rít lên. Vi phạm an ninh cũng có thể mất rất nhiều thời gian để phục hồi, điều này dẫn đến tự tử trong điều khoản kinh doanh. Mặc dù điều này có nghĩa là hầu hết các doanh nghiệp có thể giành được lợi nhuận đã bị ảnh hưởng bởi một hoặc hai giờ ngừng hoạt động, nhưng đối với một số doanh nghiệp thì không thể cho phép.

Hãy tưởng tượng một sàn giao dịch tiền tệ bị giảm trong vài phút!

Vấn đề tuân thủ

Không bảo mật API đúng cách có thể khiến bạn gặp rắc rối nghiêm trọng, tùy thuộc vào khu vực địa lý hoặc ngành nghề mà bạn đang xử lý. Chẳng hạn, nếu bạn phục vụ ngành ngân hàng (đặc biệt là ở EU), chi phí bị phát hiện phục vụ với các API không an toàn sẽ dẫn đến những rắc rối pháp lý và tuân thủ lớn. Nhiều đến mức nó có thể đánh vần sự kết thúc của doanh nghiệp của bạn.

Mất danh tiếng

Bản thân việc bị hack là đủ đau đớn, nhưng nếu tin tức được đưa ra trước công chúng, thì đó sẽ là một mất mát không thể phục hồi cho hình ảnh thương hiệu của bạn. Ví dụ, Sony đã bị tấn công rất tệ một vài lần và trong giới bảo mật, công ty là một cổ phiếu cười của các loại.

Ngay cả khi không có mất dữ liệu hoặc tiền thực tế phát sinh, chúc may mắn cố gắng thuyết phục khách hàng lừa đảo của bạn. ��

Hóa đơn cơ sở hạ tầng tăng cao

Khi API của bạn chạy trên cơ sở hạ tầng, phần lớn sẽ tiêu tốn tài nguyên (băng thông, CPU và bộ nhớ). Chẳng hạn, khi API không được bảo mật đúng cách và người ngoài độc hại có thể tương tác với nó, họ có thể buộc API tiếp tục thực hiện nhiều công việc vô nghĩa (ví dụ: chạy các truy vấn cơ sở dữ liệu nặng), có thể bắn lên hóa đơn của bạn vì lý do.

Trên các nền tảng cho phép mở rộng quy mô tài nguyên tự động (như AWS), kết quả có thể gây sốc (lạc đề, nhưng nếu bạn bị vướng vào một món súp như thế này trên AWS, họ sẽ hiểu rõ về tình huống và từ bỏ ngay lập tức hóa đơn tăng cao – ít nhất là bằng văn bản!).

Tinh thần đồng đội

Vì vậy, bạn có thể nghĩ, đội nào để những thỏa hiệp này xảy ra sẽ mất tinh thần hơn họ? Vâng, không hoàn toàn. Có thể các thỏa hiệp là do bảo mật cơ sở hạ tầng yếu, điều này sẽ làm nản lòng các nhà phát triển hoặc ngược lại.

Nếu điều này xảy ra đủ thời gian, bạn sẽ có một nền văn hóa trong tay mà bạn sẽ hối tiếc khi phát triển.

Đối thủ cạnh tranh tăng

Vì vậy, hãy để nói rằng có một vi phạm nhưng không có tổn thất thực sự. Tuy nhiên, các đối thủ cạnh tranh của bạn sẽ sử dụng sự cố để đánh trống API của chính họ và khẳng định mức độ an toàn của họ là bao nhiêu (ngay cả khi nó không như vậy!). Một lần nữa, chúc may mắn cố gắng thuyết phục thị trường. ��

Nói chung, có những hậu quả đối với các vi phạm an ninh vượt ra ngoài việc mất tiền.

Thực tiễn tốt nhất để bảo mật điểm cuối API

Rất may, có một số thực tiễn dễ thực hiện và được hiểu rõ nhất mà bạn có thể áp dụng cho các điểm cuối API của mình để bảo mật chúng. Đây là những gì mà hầu hết các chuyên gia bảo mật khuyên dùng.

HTTPS luôn

Nếu các điểm cuối API của bạn cho phép người tiêu dùng API nói chuyện qua http hoặc các giao thức không bảo mật khác, thì bạn sẽ gặp rủi ro lớn. Mật khẩu, khóa bí mật và thông tin thẻ tín dụng có thể dễ dàng bị đánh cắp như bất kỳ người đàn ông giữa cuộc chiến hoặc công cụ sniffer gói có thể đọc chúng dưới dạng văn bản thuần túy.

Vì vậy, luôn luôn tạo https là lựa chọn duy nhất có sẵn. Cho dù điểm cuối có vẻ tầm thường như thế nào, kết nối qua http không nên là một lựa chọn. Chứng chỉ TLS không có giá rất cao, bạn có thể mua với giá thấp nhất là $ 20 từ Cửa hàng SSL.

Băm mật khẩu một chiều

Mật khẩu không bao giờ được lưu trữ dưới dạng văn bản thuần túy, vì trong trường hợp xảy ra vi phạm bảo mật, tất cả các tài khoản người dùng sẽ bị xâm phạm. Đồng thời, tuyệt đối nên tránh mã hóa đối xứng, vì bất kỳ kẻ tấn công nào khéo léo và đủ kiên trì sẽ có thể phá vỡ chúng.

Tùy chọn được đề xuất duy nhất là thuật toán mã hóa bất đối xứng (hoặc một chiều) để lưu trữ mật khẩu. Bằng cách đó, cả kẻ tấn công lẫn bất kỳ nhà phát triển hay sysadmin nào trong công ty sẽ không đọc được mật khẩu của khách hàng.

Xác thực mạnh mẽ

Bây giờ, hầu hết mọi API đều có một hình thức xác thực, nhưng theo tôi, hệ thống OAuth2 hoạt động tốt nhất. Trái ngược với các phương thức xác thực khác, nó chia tài khoản của bạn thành tài nguyên và chỉ cho phép truy cập giới hạn vào người mang mã thông báo xác thực.

Đồng thời, một thực tiễn rất tốt khác để đặt mã thông báo hết hạn sau mỗi 24 giờ, để chúng cần được làm mới. Bằng cách này, ngay cả mã thông báo của bạn bị rò rỉ, có một cơ hội là thời hạn 24 giờ sẽ làm giảm tác động của vi phạm.

Áp dụng giới hạn tỷ lệ

Trừ khi bạn có một API mà hàng triệu người sử dụng mỗi phút, thì đó là một ý tưởng rất hay để thực thi giới hạn số lượng cuộc gọi mà khách hàng có thể thực hiện với API trong một cửa sổ thời gian nhất định.

Điều này chủ yếu là để ngăn cản các bot, có thể tiếp tục gửi hàng trăm yêu cầu đồng thời mỗi giây và khiến API của bạn ăn hết tài nguyên hệ thống mà không có lý do chính đáng. Tất cả các khung phát triển web đều đi kèm với phần mềm trung gian giới hạn tỷ lệ (và nếu không, nó khá dễ dàng để thêm nó thông qua thư viện) chỉ mất một phút để thiết lập.

Xác thực đầu vào

Điều này nghe có vẻ không có trí tuệ, nhưng bạn sẽ ngạc nhiên khi có bao nhiêu API rơi vào việc này. Xác thực đầu vào không chỉ có nghĩa là kiểm tra xem dữ liệu đến có đúng định dạng hay không, mà còn không có bất ngờ nào có thể xảy ra. Một ví dụ đơn giản là SQL SQL, có thể xóa sạch cơ sở dữ liệu của bạn nếu bạn để các chuỗi truy vấn đi qua với rất ít hoặc không cần kiểm tra.

Một ví dụ khác là xác nhận kích thước yêu cầu POST và trả về mã lỗi và thông báo phù hợp cho khách hàng. Cố gắng chấp nhận và phân tích các đầu vào lớn một cách lố bịch sẽ chỉ phục vụ để làm nổ tung API.

Thực thi lọc địa chỉ IP, nếu có

Nếu bạn tích hợp vào các dịch vụ B2B và API của bạn được các doanh nghiệp sử dụng từ các vị trí đã đặt, hãy xem xét thêm một lớp bảo mật bổ sung để hạn chế địa chỉ IP có thể truy cập API của bạn. Đối với mỗi vị trí mới và khách hàng mới, địa chỉ IP sẽ cần được kiểm tra theo yêu cầu đến.

Có, nó gây thêm phiền toái cho việc lên máy bay, nhưng kết quả cuối cùng là bảo mật chặt chẽ hơn nhiều so với có thể đạt được.

Các công cụ để tăng bảo vệ API

Có công cụ nào có thể giúp chúng tôi quét lỗ hổng, hoặc thậm chí tốt hơn, cung cấp tuyến phòng thủ đầu tiên khi nói đến việc bảo vệ API?

May mắn thay, vâng. Có một số công cụ bạn có thể sử dụng, nhưng hãy lưu ý rằng vào cuối ngày, không có chiến lược bảo mật nào là hoàn hảo. Phải nói rằng, các công cụ này có thể tăng bảo mật API của bạn lên gấp nhiều lần, vì vậy chúng được khuyến nghị.

Metasploit

Metasploit là một khung nguồn mở cực kỳ phổ biến để thử nghiệm thâm nhập các ứng dụng web và API. Nó có thể quét API của bạn trên một số tham số khác nhau và thực hiện kiểm toán bảo mật toàn diện cho các mức độ lỗ hổng khác nhau.

Chẳng hạn, quá trình quét bảo mật do Metasploit thực hiện có thể cho bạn biết liệu chữ ký API của bạn có cho đi các công nghệ và hệ điều hành cơ bản hay không; che giấu điều này thường là một nửa trận chiến giành được trong bảo mật API.

Mặc dù khung lõi nguồn mở nói chung là đủ, có những sản phẩm trả phí xuất sắc được xây dựng trên Metasploit rất đáng xem. Kế hoạch chuyên nghiệp là tuyệt vời nếu bạn muốn hỗ trợ cao cấp và sẽ sử dụng khung chuyên sâu, nhưng nói chung là không cần thiết nếu nhóm của bạn đủ kinh nghiệm.

Đám mây

Không chỉ CDN mà còn Đám mây cung cấp nhiều tính năng bảo mật như WAF, giới hạn tỷ lệ, bảo vệ DDoS sẽ rất cần thiết trong việc bảo vệ API của bạn khỏi các mối đe dọa trực tuyến.

Công viên mạng

Công viên mạng đi kèm với một USP của quét quét dựa trên bằng chứng của Google. Nói một cách đơn giản hơn, nó thường có thể là các điều kiện mạng không đều hoặc một số hành vi API ít được biết đến được hiểu là các lỗ hổng bảo mật, sau này được phát hiện là sai.

Điều này làm lãng phí tài nguyên vì tất cả các lỗ hổng được báo cáo cần phải được quét lại một cách thủ công để xác nhận rằng chúng phát sinh dương tính giả. Netsparker cho biết công cụ này có thể cung cấp cho bạn một bằng chứng khái niệm đủ mạnh cho các báo cáo, xóa bỏ nghi ngờ về các liên kết yếu được tìm thấy.

Với các công ty như Sony, Religare, Coca-Cola, Huawei, v.v., trong danh sách khách hàng của họ, bạn có thể chắc chắn rằng những người này đang làm điều gì đó đúng đắn. Nhân tiện, họ cũng có một điều khó tin blog bảo mật web bạn nên làm theo.

Xà phòng Pro

Được xây dựng bởi SmartBear, Xà phòng Pro là một cách trực quan và dễ dàng để tạo các thử nghiệm API và nhận các báo cáo chính xác, dựa trên dữ liệu về chúng. Nó cũng tích hợp gọn gàng với đường ống CI / CD của bạn, đảm bảo rằng không có bổ sung mã mới nào làm ảnh hưởng đến bảo mật API của bạn.

SoapUI có thể hoạt động với Swagger, OAS và các tiêu chuẩn API phổ biến khác, giảm đáng kể thời gian để bắt đầu. Với các khách hàng như Microsoft, Cisco, MasterCard, Oracle, v.v. và các gói có giá bắt đầu từ $ 659 mỗi năm, đây là một công cụ xứng đáng cho các API an toàn hơn.

Tin cậy

Tin cậy là một bộ các giải pháp tập trung vào quét và bảo mật. Một trong những điều độc đáo về dịch vụ này là nó không chỉ thực hiện phát hiện mối đe dọa chính xác trên API của bạn mà còn giúp bạn hiểu cách khắc phục chúng..

Trustwave thực hiện cái mà nó gọi là quét nhận biết ngữ cảnh, nghĩa là một khi hệ thống cơ sở hạ tầng hoặc cơ sở hạ tầng đã được phát hiện, dịch vụ thực hiện một loạt các kiểm tra liên quan để đảm bảo rằng các lỗ hổng bảo mật khó chịu liên quan đến nền tảng đó không xuất hiện.

Họ cũng tự hào về một đội ngũ các nhà nghiên cứu bảo mật mạnh mẽ đang liên tục cập nhật các khả năng dịch vụ. Nếu bạn rất quan tâm đến việc tuân thủ, Trustwave là một giải pháp tốt.

Nếu bạn sống theo các con số và muốn tận hưởng các tính năng như trả lời mối đe dọa, hãy nhấp lại vào các lần kiểm tra sau khi sửa lỗi, v.v.!

không thiếu các công cụ bảo mật API có sẵn trên thị trường, cho dù đó là nguồn mở, miễn phí hoặc thương mại hoặc bất kỳ sự kết hợp nào của chúng. Hãy thoải mái khám phá thêm, và nếu bạn tìm thấy thứ gì đó thậm chí còn tốt hơn, xin vui lòng viết như vậy trong các bình luận và tôi sẽ rất vui khi đưa nó vào! ��

THẺ

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me