چرا و چگونه می توان Endpoint API را ایمن کرد؟

چگونه API خود را تأمین می کنید?


عصر انفجار اقتصاد دیجیتال است ، و بارهای زیادی از داده ها از طریق API انتقال می یابد. تجارت ، بازی ، آموزش ، علوم ، هنر. . . شما آن را نامگذاری می کنید ، همه چیز در API کار می کند. برای دنیایی که اساساً به API ها وابسته باشد ، به طرز شگفت آور کمی به امنیت توجه می شود.

برای توسعه دهندگان ، پیش فرض های چارچوب های آنها کافی است. یا حتی بدتر ، وقتی از هیچ چهارچوبی استفاده نمی شود ، آنها فکر می کنند که آنها از اقدامات ایمن پیروی می کنند. برای سرپرستان سیستم ، امنیت پیش فرض ارائه شده توسط زیرساخت ها یا ارائه دهنده خدمات آنها همان چیزی است که آنها به آنها اعتماد دارند.

اگر از من بپرسید ، اصلاً منظره زیبایی نیست.

منبع: developer.ibm.com

نیازی به گفتن نیست ، چیزهای زیادی در معرض خطر هستند ، که ما فقط وقتی چیزی را درک می کنیم واقعاً وحشتناک اتفاق می افتد.

اما اول چیزهای اول ��

چرا نقاط پایانی API ایمن است?

این باید بدون ذهن باشد ، درست است؟ ما باید نقاط پایانی را تضمین کنیم زیرا ، خوب ، این بستگی به تجارت دارد.

اگرچه این یک استدلال به اندازه کافی قوی است ، من می خواهم دیدگاه را کمی گسترش دهم و پیامدهای مرتبط ، اما به همان اندازه کشنده را برجسته کنم.

ضرر و زیان تجاری

این آشکار است. اگر شخصی موفق شود با نقاط ضعف API شما را مسخره کند ، همه چیز را به حالت فریاد می کشاند. نقض امنیت همچنین می تواند زمان زیادی را برای بهبودی از شما بگیرد ، که این امر از نظر تجاری به خودکشی ترجمه می شود. در حالی که درست است که احتمالاً بیشتر مشاغل تحت تأثیر یک ساعت یا دو ساعت از کار افتادگی قرار نخواهند گرفت ، برای برخی مجاز نیست.

تصور کنید که ارز برای چند دقیقه در حال کم شدن است!

مشکلات مربوط به انطباق

عدم امنیت صحیح API شما بسته به نوع جغرافیایی یا صنایعی که با آنها سر و کار دارید ، می تواند شما را دچار مشکلات جدی کند. به عنوان مثال ، اگر شما در حال خدمت به صنعت بانکی (به ویژه در اتحادیه اروپا) هستید ، هزینه کشف شده برای خدمت با API های ناامن منجر به مشکلات عظیم قانونی و انطباق شما خواهد شد. آنقدر که حتی ممکن است پایان کار شما هجی کند.

از دست دادن اعتبار

هک شدن به خودی خود به اندازه کافی دردناک است ، اما اگر خبری در مردم منتشر شود ، ضرر جبران ناپذیری را برای تصویر نام تجاری شما به همراه خواهد داشت. به عنوان مثال ، سونی تاکنون چند بار بسیار بد هک شده است ، و در محافل امنیتی ، این شرکت یک است سهام خنده دار انواع.

حتی اگر هیچ گونه از دست دادن واقعی داده یا پول متحمل نشود ، موفق باشید برای متقاعد کردن مشتریان متقلب خود. ��

صورتحسابهای زیرساختی بادی

هنگامی که API شما روی یک زیرساخت کار می کند ، از منابع (پهنای باند ، CPU و حافظه استفاده می کند). به عنوان مثال ، در جایی که API به طور صحیح ایمن نباشد و افراد خارجی مخرب قادر به تعامل با آن باشند ، ممکن است مجبور شود API را مجبور به انجام کارهای غیرمعمول کند (به عنوان مثال اجرای نمایش داده های سنگین پایگاه داده) ، که می تواند شلیک کند. قبض های خود را به دلایل.

در سیستم عامل هایی که امکان تغییر خودکار منابع را دارند (مانند AWS) ، نتایج می تواند تکان دهنده باشد (خاموش موضوع) ، اما اگر در AWS سوپ مانند این گرفتار شوید ، آنها کاملاً از اوضاع می فهمند و سریعاً از این امر چشم پوشی می کنند. قبض تورم – حداقل از زمان نوشتن!).

روحیه تیم

بنابراین ، شما ممکن است در حال فکر کردن باشید ، تیمی که اجازه می دهد این سازش ها اتفاق بیفتد ، روحیه آنها را از دست می دهد؟ خوب ، نه کاملاً این احتمال وجود دارد که سازش به دلیل ضعف امنیت زیرساخت ها باشد ، که باعث توسعه دهندگان یا برعکس آن می شود.

اگر این اتفاق به اندازه کافی رخ دهد ، شما یک فرهنگ به دست خود خواهید داشت که پشیمان خواهید شد که اجازه توسعه پیدا می کنید.

دستاوردهای رقبا

بنابراین بیایید بگوییم نقض شده است اما هیچ ضرر واقعی وجود ندارد. با این حال ، رقبای شما از این واقعه استفاده می کنند تا API خود را بکشند و ادعا کنند که امنیت آنها چقدر امن تر است (حتی اگر این طور نیست!). بار دیگر ، موفق باشید برای متقاعد کردن بازار. ��

در کل ، عواقب ناشی از نقض امنیت وجود دارد که فراتر از از دست دادن پول است.

بهترین روشهای ایمن سازی نقاط پایانی API

خوشبختانه ، برخی از روشهای آسان برای اجرا و درک خوب وجود دارد که می توانید برای تأمین امنیت آنها ، از نقاط پایانی API خود استفاده کنید. در اینجا آنچه اکثر کارشناسان امنیتی توصیه می کنند آورده شده است.

HTTPS همیشه

اگر نکات نهایی API شما به مصرف کنندگان API اجازه می دهد تا از طریق http یا سایر پروتکل های غیر ایمن صحبت کنند ، شما آنها را در معرض خطر بزرگی قرار داده اید. گذرواژه‌ها ، کلیدهای مخفی و اطلاعات کارت اعتباری به راحتی در هر صورت به سرقت می روند حمله انسان به وسط یا ابزار sniffer بسته می تواند آنها را به عنوان متن ساده بخواند.

بنابراین ، همیشه https را تنها گزینه موجود کنید. مهم نیست که یک نقطه پایانی چقدر بی اهمیت به نظر برسد ، اتصال به http نباید حتی گزینه ای باشد. گواهینامه TLS هزینه زیادی ندارد ، می توانید از آن با حداقل 20 دلار خریداری کنید فروشگاه SSL.

هس رمز عبور یک طرفه

رمزهای عبور هرگز نباید به صورت متن ساده ذخیره شوند ، زیرا در صورت بروز نقض امنیت ، تمام حسابهای کاربر به خطر می افتد. در عین حال ، باید از رمزگذاری متقارن به شدت جلوگیری شود ، زیرا هر مهاجمی مبتکر و مداوم به اندازه کافی قادر به شکستن آنها خواهد بود.

تنها گزینه پیشنهادی الگوریتم های رمزگذاری نامتقارن (یا “یک طرفه”) برای ذخیره رمزهای عبور است. به این ترتیب ، نه یک مهاجم و نه هیچ برنامه نویسی یا sysadmin در شرکت قادر به خواندن رمزهای عبور مشتری نخواهند بود.

احراز هویت قوی

اکنون تقریباً در هر API شکلی از تأیید اعتبار وجود دارد ، اما به نظر من سیستم OAuth2 بهترین کار را دارد. برخلاف سایر روشهای تأیید اعتبار ، حساب شما را به منابع تقسیم می کند و فقط دسترسی محدود به صاحب نشانه auth را امکان پذیر می کند..

در عین حال ، یک روش بسیار خوب دیگر برای تنظیم نشانه ها تمام ، مثلاً 24 ساعت تمام می شود تا نیاز به تجدید آنها باشد. به این ترتیب ، حتی از نشانه های شما فاش می شود ، این احتمال وجود دارد که مهلت 24 ساعته اثر نقض را کاهش دهد.

محدود کردن نرخ را اعمال کنید

مگر اینکه API دارید که هر دقیقه توسط میلیونها نفر استفاده می شود ، ایده خوبی است برای محدود کردن تعداد تماس هایی که مشتری می تواند در یک پنجره زمانی معین با API برقرار کند ، اعمال می شود.

این بیشتر برای دلسرد کردن رباتهاست ، که می تواند ارسال صدها درخواست همزمان در هر ثانیه و باعث شود API شما بدون هیچ دلیل خوبی منابع سیستم را بخورد. همه چارچوب های توسعه وب دارای یک واسطه محدود کننده نرخ هستند (و اگر اینگونه نباشد ، افزودن آن از طریق یک کتابخانه نسبتاً آسان است) که تنظیم آن فقط یک دقیقه یا بیشتر طول می کشد..

اعتبار سنجی ورودی

این به نظر می رسد یک مغز بدون ذهن است ، اما تعجب خواهید کرد که چند API برای این اتفاق افتاده است. اعتبارسنجی ورودی نه تنها به معنای بررسی اینکه داده های ورودی در یک قالب صحیح هستند ، بلکه امکان غافلگیری وجود ندارد. یک مثال ساده تزریق SQL است که اگر اجازه دهید رشته های پرس و جو با کمی چک کردن یا بدون بررسی از بین بروند ، می تواند پایگاه داده ها را از بین ببرد..

مثال دیگر اعتبارسنجی اندازه درخواست POST و بازگرداندن کد و پیام خطای مناسب به مشتری است. تلاش برای پذیرش و تجزیه اطلاعات ورودی مسخره فقط به منفجر کردن API کمک می کند.

در صورت وجود فیلتر آدرس IP را اعمال کنید

اگر وارد خدمات B2B شده اید و API های شما توسط مکانهای تنظیم شده توسط مشاغل مورد استفاده قرار می گیرند ، با توجه به افزودن یک لایه امنیتی اضافی که باعث محدود کردن آدرس IP می شود و می تواند به API شما دسترسی پیدا کند. برای هر مکان جدید و مشتری های جدید ، باید آدرس IP در برابر درخواست ورودی بررسی شود.

بله ، این باعث ناراحتی می شود از روی سوار شدن ، اما نتیجه نهایی امنیت بسیار سخت تر از آن است که در غیر این صورت به دست می آید.

ابزار افزایش محافظت از API

آیا ابزاری وجود دارد که می تواند به ما در اسکن آسیب پذیری یا حتی بهتر از آن کمک کند ، اولین خط دفاع را هنگام تهیه امنیت API ارائه دهیم.?

خوشبختانه ، بله چندین ابزار وجود دارد که می توانید از آنها استفاده کنید ، اما توجه داشته باشید که در پایان روز هیچ استراتژی امنیتی کامل نیست. با گفتن این موارد ، این ابزارها می توانند چندین برابر امنیت API شما را افزایش دهند ، بنابراین توصیه می شود.

متاسپلویت

متاسپلویت یک چارچوب منبع باز بسیار محبوب برای تست نفوذ برنامه های وب و API ها است. این می تواند API شما را بر روی چندین پارامتر مختلف اسکن کند و یک ممیزی امنیتی جامع برای سطوح مختلف آسیب پذیری های موجود انجام دهد.

به عنوان مثال ، اسکن امنیتی که توسط Metasploit انجام شده است می تواند به شما بگوید آیا امضای API شما فناوری های اساسی و سیستم عامل را از بین می برد یا خیر. پنهان کردن این اغلب نیمی از نبردهایی است که در امنیت API به دست می آید.

در حالی که چارچوب هسته منبع باز به طور کلی کافی است ، کالاهایی با پرداخت عالی وجود دارد که در بالای Metasploit ساخته شده اند که ارزش نگاه کردن دارند. اگر می خواهید پشتیبانی حق بیمه داشته باشید و از عمق چارچوب استفاده کنید ، این برنامه حرفه ای عالی است ، اما اگر تیم شما به اندازه کافی تجربه شود لازم نیست.

Cloudflare

نه فقط CDN بلکه Cloudflare بسیاری از ویژگی های امنیتی مانند WAF ، محدود کردن نرخ ، محافظت از DDoS را ارائه دهید که در تضمین API شما از تهدیدات آنلاین ضروری است.

نتپارکر

نتپارکر همراه با USP “اسکن مبتنی بر اثبات”. به عبارت ساده تر ، اغلب ممکن است که شرایط نامنظم شبکه یا برخی رفتارهای کمتر شناخته شده API به عنوان نقاط ضعف امنیتی تعبیر شوند ، که بعداً اشتباه یافت می شود.

این منابع باعث از بین رفتن منابع می شود زیرا همه آسیب پذیری های گزارش شده باید دوباره بصورت دستی اسکن شوند تا تأیید کنند که این موارد مثبت کاذب نیستند. Netsparker می گوید این ابزار قادر است اثبات مفهوم کافی برای گزارش ها را در اختیار شما قرار دهد و شک و تردید در مورد پیوندهای ضعیف یافت شده را از بین می برد..

با داشتن شرکت هایی مانند سونی ، Religare ، Coca-Cola ، Huawei و غیره در لیست مشتری های خود ، می توانید مطمئن باشید که این افراد در حال انجام کاری درست هستند. �� به هر حال ، آنها همچنین باور نکردنی دارند وبلاگ امنیت وب که شما باید دنبال کنید.

SoapUI Pro

ساخته شده توسط SmartBear, SoapUI Pro روشی بصری و آسان برای ایجاد تست های API و گرفتن گزارش های دقیق و محور از آنها است. همچنین به طور منظم با خط لوله CI / CD شما ادغام می شود ، و مطمئن می شوید که هیچ کد جدیدی باعث ایجاد امنیت API شما نمی شود..

SoapUI قادر به همکاری با Swagger ، OAS و سایر استانداردهای محبوب API است و باعث کاهش چشمگیر زمان شروع کار می شود. با مشتریانی مانند مایکروسافت ، سیسکو ، مستر کارت ، اوراکل و غیره و برنامه هایی که از 659 دلار در سال شروع می شود ، این یک ابزار ارزشمند برای API های امن تر است..

موج اعتماد

موج اعتماد مجموعه ای از راه حل های محور اسکن امنیتی و سخت شدن است. یکی از موارد منحصر به فرد در مورد این سرویس این است که نه تنها تشخیص دقیق تهدید را در API شما انجام می دهد بلکه به شما در درک نحوه رفع آنها کمک می کند.

Trustwave کاری را انجام می دهد که آن را اسکن زمینه ساز می داند ، به این معنی که پس از شناسایی یک سیستم عامل اصلی یا زیرساخت ، عملکرد سرویس مجموعه ای از بررسی های مرتبط را برای اطمینان از وجود حفره های امنیتی نامطبوع مربوط به آن سیستم عامل انجام می دهد..

آنها همچنین با داشتن تیم قدرتمندی از محققان امنیتی که به طور مداوم قابلیت های خدمات را به روز می کنند ، افتخار می کنند. اگر به انطباق زیادی عمل کنید ، Trustwave یک راه حل خوب است.

اگر در شماره ها زندگی می کنید و می خواهید از ویژگی هایی از قبیل پاسخ تهدید لذت ببرید ، مجدداً اجرای تست ها بعد از رفع اشکالات و موارد دیگر ، یک بار دیگر جستجو نکنید.!

وجود دارد کمبودی ندارد ابزارهای امنیتی API موجود در بازار ، خواه منبع باز ، رایگان یا تجاری یا هر نوع ترکیبی از این موارد. برای کشف بیشتر احساس راحتی کنید ، و اگر چیزی بهتر پیدا کردید ، لطفاً در نظرات بنویسید و خوشحالم که آن را گنجانده ام! ��

برچسب ها:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map