“治理、測試和監控——這是關于 API 安全的核心建議,要考慮這三個要素。”–APISec University 創始人兼 APISec 發展主管 Dan Barahona。
隨著 API 變得越來越普遍,它們也越來越成為黑客的目標,因此確保 API 安全是必需的。本周,在API Intersection上,我們認為,還有什么比邀請 API 安全專家 Dan Barahona 本人來慶祝“安全九月”更好的方式呢??
作為 APIsec University 的創始人和APIsec的增長主管,Dan Barahona 擁有超過 20 年的網絡安全經驗。他創建了 APISec University,以提高人們對 API 風險和安全的認識和教育,他們的許多課程都向公眾開放。事實上,我剛剛完成了一門關于API 文檔最佳實踐及其與安全關系的完整課程,我強烈建議大家查看一下。?
我們討論了組織在管理和保護 API 方面面臨的各種挑戰,例如 API 蔓延以及需要對其 API 進行更多可見性保護。以下是一些快速取勝的方法,可幫助您走上正確的 API 安全之路。最重要的是,確保您擁有主動的API 安全實踐,并在開發過程的早期解決安全問題。
在深入探討 API 安全的三大支柱之前,讓我們確保我們都擁有正確的心態和方法。首先要確保您的團隊 A) 相互溝通,B) 有能力在 API 設計流程的早期階段注入安全性。
“安全團隊必須與產品團隊溝通,對吧?而且這必須是一種合作。你可能認為團隊正在這樣做,但大多數團隊還沒有發揮出全部能力,”Dan 分享道。
Dan 強調了賦能思維的重要性,安全團隊應與開發人員合作,提供對安全和開發都有益的工具和流程。請不要讓您的開發人員一無所知,而是讓他們參與如何盡早將安全性納入 API 開發中。從本質上講,在設計階段推動安全性越早,對所有參與者來說就越好。
不過,不僅開發人員和安全團隊應該密切合作,產品經理也應該密切合作。確保您的產品經理盡早了解安全團隊的需求,并經常與開發團隊溝通。?
掌握正確的方法后,您就可以深入了解 API 安全的三大支柱。要牢記的主要組成部分是治理、測試和監控。
API 安全治理始于確保安全的 API 開發實踐。這包括定義設計、開發和部署 API 的標準和最佳實踐。標準化和實施適當治理的最佳資源之一是全面的文檔。?
相信我,擁有定義明確的文檔可以幫助開發人員了解如何使用 API,包括身份驗證要求、版本控制等。?
治理存儲庫中的另一個武器是安全樣式指南。您的 API 團隊可能已經使用樣式指南來自動執行數據格式或端點命名約定。通過精心挑選的一組可執行的安全規則,您可以使用相同的工具來大大增強對數據盜竊和資源利用的防御能力。
請注意,您的治理還應解決授權控制問題,并確保只有授權實體才能訪問 API,并且始終如一地執行授權,這對于安全性至關重要。
必須認識到 API 是編程接口,并且測試它們與測試常規用戶界面有很大不同(即,由于可能的排列組合數量眾多,傳統的點擊測試不適用于 API)。
相反,實施自動化和程序化測試才是正確方法。雖然我們也談到了在設計過程中將測試移至左側的重要性,但這只是另一個友情提醒,等到 API 投入生產后再測試安全問題并不是正確的做法。有關測試技巧的更多信息,請查看我們之前發布的涵蓋該主題的博客。?
最重要的是,在監控方面,持續監控至關重要。組織不應僅僅依賴定期的安全測試,而應持續監控 API,以便及時檢測和解決安全問題。監控可以幫助立即防止對 API 內敏感數據或功能的未經授權的訪問,因此請務必不要錯過這一步!
您還可以使用網關執行監控任務,例如設置 IP 白名單和監控高流量活動。網關通常可以起到增強 API 端點安全性的作用。
文章來源:Security September: Essential Pillars to Ensure API Security with Dan Barahona