若无零信任原则为基础则无法实现真正意义上的 API 安全
|
当今日常面对的企业最棘手的网络安全问题之一是 API 安全。在过去的12个月中,API攻击增加了681%,而整体API流量也增加了321%。 更多的DevOps团队需要一种可靠、可扩展的方法来防止API安全失控。此外,DevOps实践团队还需要将API集中式的管理平台上转移到安全可信的零信任操作系统框架,以从根本上降低数据泄露的风险 Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美国邮政服务等公司的API漏洞表明,数以千计的API没有受到保护,是网络犯罪分子最喜欢的攻击面之一。API需要最少的特权访问,并使用更基于微分段的方法进行管理。零信任的这两个要素结合身份和访问管理(IAM)框架来管理API,将减少企业目前难以追踪的“流氓API”和“失踪API”的数量。此外,应用最小权限、微分段和IAM将减少用于内部测试的端点数量(这些端点保持打开状态,可以访问API)。 DevOps领导者及其团队需要帮助平衡其业务对API不断增长的需求与保持合规性的需求,以支持新的数字化转型项目。面对快速地创建API的压力,DevOps团队首先加速业务收益,并尝试在开发时间表允许的情况下改善合规性、安全性和隐私性。安全控制必须转向API级别的信任,为生成的每种类型的API定义安全上下文。 为了按时完成大型数字化转型项目,很多DevOps团队负责人急于完成API发布周期,同时将安全性视为完成工作的障碍。这导致API的安全检查和审计工作非常草率甚至缺失。DevOps团队中的每个人都被迫满足或超过代码发布日期。API安全成为没有人有时间处理的附加流程,导致API安全问题蔓延。为了解决这个问题,开发人员必须确保他们的工作负载不会受到攻击。这意味着他们必须使用一种方法来检测和阻止恶意软件的入侵。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
