API保护是一门艺术:要正确操作,需要将技术和组织流程微妙结合。
在技术方面,可以采用身份验证和授权、加密、自动测试和监控等措施。在企业方面,需要确切知道API到底在为谁服务,相应定制访问权限。针对外部API,企业需要知道外部的哪些数据可用,以及如何策划和呈现这些需要的数据。
API如何保护?
1、当企业尝试去保护API时,需要有一个条理性的操作顺序,以识别和管理API。
首先,可以对每一个API进行编码。这样做可以让企业时刻保持API库存的更新,对于开发人员来讲,能够方便、快速、安全地进行网站开发。同时,为了避免API发生蠕变,每个API都应该注册以下信息:
·名称
·用于构建API的工具和软件包
·API运行的服务器
·依赖该API的服务
·有效用途和错误代码
·绩效指标
·预期正常运行时间或停机窗口
以上所有信息都应该进入由专业网络安全团队管理的存储库。
其次,对每个API进行自动化检测。根据以上的信息,网络安全团队或专业检测团队可以定期对API进行测试。通过检测,可以时时刻刻地观察API数据变化,保证其安全性和可靠性。
最后,将API安全添加到企业威胁预防策略中。当发现用于构建API的工具或软件包存在错误时,那么与它相链接的任何协议都应该被认为是不安全的,企业需要关闭受影响的所有设备。
2、API保护措施
当进行渗透测试或保护API时,可以参考以下这些方法:
(1)从API活动开始分析。通过对API的访问级别、使用协议和端口进行测试,并在API本身停止运行的情况下检测,查看整个系统是否会发生变化,实际情况与预期结果是否匹配。
(2)从API的服务级别分析。企业需要对相关服务器进程的优先级、API速率限制、最小或最大请求延迟设置以及可用性窗口有所了解,其中一些细节对于DDoS的预防非常重要。同时,也有助于监控是否有内存泄漏或垃圾收集问题,这些问题可能会对服务器的完整性构成长期威胁。
(3)身份验证和安全环境。与其他任何服务一样,在使用API之前,进行需要经过杀毒,保持良好的网络环境,可以防止代码注入、缓冲区溢出等安全风险。为特定用户群的API设计一定程度的身份验证。当然,在如今这个时代,身份验证不一定是唯一的密码,也可以选择生物识别技术。总之,企业应该选择最适合的方法并进行定期测试。
当然,加密和数字签名也是一种保护措施。API接口需要加密,并且在发送或接收已知实体(大小、内容等)的文件时,检测或校验也是不可缺失的。
3、响应API攻击
基本规则是:如果API访问失败,就应该立刻停止访问。因为在开放或可访问的状态下,是不会失败的。所以,应该立即限制速率,然后保持错误状态。同时,也需要制定一些特定的API攻击,遵循SOP(标准作业程序),不可偷工减料。
对于某些基础设施不完善的企业来讲,创建一个API安全系统,让安全测试自动化,可以持续有效保证API库存的最新状态,保证API的安全性。
京公网安备 11010802033237号
