1. API 設計

為了有效解決諸如注入或身份驗證失敗 (OWASP API2) 之類的威脅，在 API 設計期間實施主動威脅建模工作流程至關重要。以下是一些實施此操作的方法：

• 模型威脅：在設計過程早期進行徹底的威脅建模。
• 選擇框架：仔細選擇與您的技術堆棧完美匹配的安全框架。
• 安全編碼：實施強大的安全編碼原則，有效減少漏洞。
• 控制訪問：實施嚴格的強制身份驗證和細粒度的授權，以實現全面的安全措施。

2. 秘密管理

敏感的 API 依賴的安全管理，防止泄露的密鑰、未經授權的訪問和嘗試提升權限至關重要。以下是一些確保強大機密管理的方法：

• 避免硬編碼：將 API 密鑰、令牌和憑據存儲在專用的秘密管理解決方案中。
• 加密靜態和傳輸中的數據：使用強大的加密算法保護敏感數據。
• 密鑰輪換策略：實施定期密鑰和憑證輪換策略。

3.部署

為了有效解決針對 API 部署的攻擊媒介，例如利用錯誤配置、未修補的漏洞 (OWASP API8) 和安全日志記錄故障 (OWASP API9)，需要制定全面的部署更新工作流程?？梢酝ㄟ^以下操作來保護部署工作流程：

• 保護環境：將 API 部署到已按照安全標準強化的環境。
• API 網關
• 盡量減少曝光：限制公開曝光并停用不必要的端點。
• 修補和更新：定期更新系統和軟件以解決漏洞。

4. 測試

運行時漏洞

• 安全測試
• OWASP 十大風險
• CI/CD 管道
• 快速補救：建立快速修復漏洞的流程。

5.庫存

全面的 API 清單影子 API

• 集中目錄：在一個地方保存所有內部和外部 API 的完整列表。
• 詳盡的文檔：記錄 API 規范、版本、訪問控制、所有者和依賴項。
• 對 API 進行分類
• 定期審查：更新您的庫存以反映變化和已退役的 API。

6. 保護

主動保護機制（例如本工作流程中概述的機制）對于應對 SQL 注入、跨站點腳本 (XSS)、拒絕服務 (DoS) 攻擊以及 OWASP Top 10 中涵蓋的其他威脅至關重要。為 API 提供更好保護的一些方法：

• 使用 Web 應用程序防火墻 (WAF)：部署 WAF 來過濾惡意流量并防范常見攻擊。
• 入侵檢測/預防（IDS/IPS）：檢測并阻止攻擊嘗試和異常行為。
• 凈化所有用戶輸入
• 速率限制和節流：防止資源耗盡和 DoS 攻擊。

7.安全監控

結構化的實時監控和事件響應工作流提供了一種系統性的方法來調查和解決 OWASP Top 10 問題，例如損壞的訪問權限(OWASP API1) 或批量分配，以最大限度地減少潛在違規的影響。創建強大的安全監控實踐的一些技巧：

• 全面記錄：記錄 API 請求、響應、錯誤、身份驗證事件和配置更改。
• 建立基線：了解正常的 API 行為以檢測異常。
• 實時警報：針對可疑活動或嚴重偏離常態的情況發出警報。
• 集中和分析：匯總日志以獲得更廣泛的安全見解和取證調查。

8. 治理

強大的治理對于確保您的組織能夠抵御不斷演變的威脅（例如新的 OWASP 風險和攻擊媒介）至關重要。建立API 治理需要考慮許多因素— 以下是一些實施方法：

• 明確的政策：制定數據管理、訪問控制、事件響應和補丁管理方面的政策。
• 定期審查和更新：定期更新政策以應對新的威脅和行業標準。
• 責任：在團隊之間分配 API 安全的角色和職責。
• 培訓：對開發人員、運營人員和安全專業人員進行 API 安全原則的教育。

關于 API 安全八大支柱的最終思考

考慮實施這八個 API 安全支柱，以增強對各種攻擊的防御能力并確保您的 API 安全運行。重要的是要記住，API 安全是一個持續的過程，需要不斷監控、改進和適應，以應對不斷變化的安全威脅。

原文地址：https://nordicapis.com/the-eight-pillars-of-api-security/

#你可能也喜歡這些API文章!

掌握API建模：基本概念和實踐

程序員常用的API接口管理工具有哪些？

簡化API縮寫：應用程序編程接口終極指南

如何為你的項目挑選最佳API？完整選擇流程解讀

應用程序開發蓬勃發展的必備開放API

.NET Core Web APi類庫如何內嵌運行和.NET Core Web API 中的異常處理

.NET Core Web API + Vue By Linux and Windows 部署方案知識點總結

優化利潤：計算并報告OpenAI支持的API的COGS

用于集成大型語言模型的LLM API