学习有关 API 安全的基础知识以便您能够开始着手实现它
当今世界,越来越多地依赖云计算、智能手机和平台应用。几乎我们每一个交互的应用都由API支持,尤其是在那些领先的云服务供应商、移动应用和微服务环境中。这就让API成为了阻止攻击面的一个关键部分。 另一个导致API攻击面扩大的关键因素是K8s和微服务的使用。最近一项研究发现了超过38万个暴露的K8s的API服务器,这足以引起担忧——毕竟K8s的API服务器是容器部署的核心控制组件。这同样表明,API的安全性被很少关注,尽管API已经是提升现代数字生态的粘接剂。 API安全对那些刚开始做安全的组织来说是一件令人头疼的任务,尤其对于那些API库杂乱无章的大企业而言。也就是说,需要一系列有效的措施和方法论,才能处理这个庞大而又无法解决的安全领域。这一方式需要结合治理、基础设施安全和应用级别的最佳实践,才能降低组织的风险。 过度的数据暴露简直是一个太过于常见的问题了。当和API相关的时候,这个隐患往往发生在API给用户回复数据时,将不应该暴露的敏感数据进行了回传。组织解决这类问题的方式包括验证API响应中包含的数据,为了确保敏感数据不会因为不经意中被包括其中。组织也应该经常部署响应验证响应机制,保证自己的敏感数据不被暴露。 和其他常见的隐患相比,缺乏速率限制控制更多会影响系统的可用性,而非机密性或者完整性。鉴于API经常作为现代微服务、云和移动应用之间的粘连剂,最终都要为客户实现价值并且创收,可用性的影响非常关键。业务中断意味着收入或者用户信任的损失。如果在公共事务领域或者国家领域,就会对市政服务或者国家安全带来极大冲击。 这些问题可能对那些经验老到的安全实践人员而言非常明显,毕竟认证、授权和DoS攻击司空见惯。换种说法,将以上组织内部和互联网上的API问题都考虑进去,加上来自恶意份子针对API攻击的高速增长速率,潜在的风险就越发复杂。为了避免这种情况,企业必须采取措施确保自己的应用程序不会遭受恶意软件的攻击。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |