Како обезбеђујете свој АПИ?
Ово је доба експлозије дигиталне економије, а огромна оптерећења података се преносе кроз АПИ-је. Посао, игре, образовање, време, наука, уметност. . . само реците; све ради на АПИ-јима. За свет који се тако фундаментално ослања на АПИ-је, изненађујуће је мало фокуса на безбедност.
За програмере су довољна подразумевана подешавања њихових оквира; или што је још горе, када се не користе оквири, они мисле да прате безбедносне праксе. За системске администраторе, подразумевана безбедност коју нуди њихова инфраструктура или добављач услуга је оно на шта се ослањају.
Уопште није леп призор, ако мене питате.
Извор: девелопер.ибм.цом
Непотребно је рећи да је много тога у игри, што схватамо тек када нешто заиста страшно деси.
Али прво ствари. 🙂
Преглед садржаја
Зашто безбедне АПИ крајње тачке?
Ово мора бити безначајно, зар не?
Морамо да обезбедимо крајње тачке јер, па, од тога зависи посао.
Иако је то само по себи довољно јак аргумент, желим да мало проширим гледиште и истакнем друге повезане, али подједнако смртоносне последице.
Пословни губитак 📉
Ово је очигледно. Ако неко успе да се петља са вашим АПИ крајњим тачкама, то ће све довести до крајњег заустављања. Нарушавање безбедности такође може потрајати доста времена да се опорави, што у пословном смислу значи самоубиство. Иако је истина да на већину предузећа вероватно неће утицати сат или два застоја, за неке то није дозвољено.
Замислите да мењач валута не ради неколико минута!
Проблеми усклађености
Неправилно обезбеђење ваших АПИ-ја може вас довести у озбиљне проблеме, у зависности од тога са којим географским подручјима или индустријама имате посла. На пример, ако опслужујете банкарску индустрију (посебно у ЕУ), цена откривања услуга са несигурним АПИ-јима ће довести до огромних проблема са законима и усклађеношћу. Толико да би то могло чак значити и крај вашег посла.
Губитак угледа
Бити хакован је довољно болно сам по себи, али ако вест изађе у јавност, доћи ће до ненадокнадивог губитка имиџа вашег бренда. На пример, Сони је до сада неколико пута веома тешко хакован, а у безбедносним круговима, компанија је предмет исмевања нека врста.
Чак и ако не дође до стварног губитка података или новца, срећно у покушају да убедите своје клијенте који су заробљени. 🙂
Надувани рачуни за инфраструктуру 💰
Када ваш АПИ ради на инфраструктури, он троши ресурсе (углавном пропусни опсег, ЦПУ и меморију). На пример, тамо где АПИ није добро обезбеђен, а злонамерни аутсајдери могу да комуницирају са њим, могуће је да приморају АПИ да настави да ради много бесмисленог посла (на пример, покретање тешких упита базе података), што може да пуца повећајте своје рачуне из разлога.
На платформама на којима је омогућено аутоматско скалирање ресурса (као што је АВС), резултати могу бити шокантни (невезано за тему, али ако вас икада ухвате оваква супа на АВС-у, они сасвим разумеју ситуацију и одмах одустају надувани рачун – барем у тренутку писања!).
Тимски морал
Дакле, можда мислите да ће тим који је дозволио да се догоде ови компромиси изгубити морал због њих. Па, не баш. Могуће је да су компромиси настали због слабе безбедности инфраструктуре, што ће обесхрабрити програмере или обрнуто.
Ако се ово деси довољно времена, имаћете културу у рукама за коју ћете пожалити што сте дозволили да се развије.
Добици конкурента
Дакле, рецимо да је дошло до кршења, али није било стварног губитка. Међутим, ваши конкуренти ће искористити инцидент како би направили сопствени АПИ и потврдили колико је њихов безбеднији (чак и ако није!). Још једном, срећно покушавајући да убедите тржиште. 🙂
Све у свему, постоје последице за кршење безбедности које превазилазе губитак новца.
Најбоље праксе за обезбеђивање крајњих тачака АПИ-ја
Срећом, постоје одређене праксе које се лако примењују и које се добро разумеју које можете применити на крајње тачке АПИ-ја да бисте их обезбедили. Ево шта већина стручњака за безбедност препоручује.
ХТТПС увек 🔒
Ако ваше крајње тачке АПИ-ја дозвољавају корисницима АПИ-ја да разговарају преко хттп или других небезбедних протокола, излажете их великом ризику. Лозинке, тајни кључеви и подаци о кредитној картици могу лако бити украдени напад човека у срединиили алатка за њушкање пакета може их прочитати као обичан текст.
Дакле, увек учините да хттпс буде једина доступна опција. Без обзира колико крајња тачка изгледа тривијално, повезивање преко хттп не би требало ни да буде опција. ТЛС сертификат не кошта много; можете купити за само 20 долара од ССЛ продавница.
Једносмерно хеширање лозинке
Лозинке никада не треба да се чувају као обичан текст, јер ће у случају кршења безбедности сви кориснички налози бити компромитовани. У исто време, симетрично шифровање треба строго избегавати, јер ће сваки нападач који је довољно генијалан и упоран моћи да их разбије.
Једина предложена опција су асиметрични (или „једносмерни“) алгоритми шифровања за чување лозинки. На тај начин, ни нападач, нити било који програмер или системски администратор у компанији неће моћи да прочита корисничке лозинке.
Јака аутентификација 💪
Сада, скоро сваки АПИ има неки облик аутентификације, али по мом мишљењу, ОАутх2 систем најбоље функционише. За разлику од других метода аутентификације, он дели ваш налог на ресурсе и дозвољава само ограничен приступ носиоцу токена за аутентификацију.
У исто време, још једна веома добра пракса да се токени подесе да истичу свака, рецимо, 24 сата, тако да их треба освежити. На овај начин, чак и ако ваш токен процури, постоји шанса да ће рок од 24 сата смањити утицај кршења.
Примените ограничење стопе
Осим ако немате АПИ који користе милиони људи сваког минута, веома је добра идеја да примените ограничење колико позива клијент може да упути АПИ-ју у датом временском периоду.
Ово је углавном да би се обесхрабрили ботови, који могу наставити да шаљу стотине истовремених захтева сваке секунде и натерају ваш АПИ да поједе системске ресурсе без доброг разлога. Сви оквири за веб развој долазе са средњим софтвером који ограничава брзину (а ако не, прилично га је лако додати преко библиотеке) за који је потребан само минут или тако да се постави.
Потврдите унос
Ово звучи као да нема смисла, али бићете изненађени колико АПИ-ја пада на ово. Валидација уноса не значи само проверу да ли су долазни подаци у исправном формату, већ и да нису могућа изненађења. Једноставан пример је СКЛ ињекција, која може да избрише ваше базе података ако пустите низове упита да прођу са мало или без провере.
Други пример је провера величине ПОСТ захтева и враћање одговарајућег кода грешке и поруке клијенту. Покушај прихватања и рашчлањивања смешно великих инпута само ће послужити да разнесе АПИ.
Примените филтрирање ИП адреса, ако је применљиво
Ако волите Б2Б услуге и ваше АПИ-је користе предузећа са одређених локација, размислите о додавању додатног слоја безбедности који ограничава ИП адресе које могу да приступе вашем АПИ-ју. За сваку нову локацију и новог клијента, ИП адресу ће морати да се провери у односу на долазни захтев.
Да, то додаје сметњу уградњи, али крајњи резултат је много већа сигурност него што се иначе може постићи.
Алати за повећање заштите АПИ-ја
Да ли постоје алати који нам могу помоћи да скенирамо рањивост, или још боље, нуде прву линију одбране када је у питању обезбеђење АПИ-ја?
На срећу, да. Постоји неколико алата које можете да користите, али имајте на уму да на крају дана ниједна безбедносна стратегија није савршена. Узимајући то у обзир, ови алати могу многоструко повећати вашу сигурност АПИ-ја, па се препоручују.
Метасплоит је изузетно популаран оквир отвореног кода за тестирање пенетрације веб апликација и АПИ-ја. Може да скенира ваш АПИ на неколико различитих параметара и да изврши исцрпну безбедносну ревизију за различите нивое присутних рањивости.
На пример, безбедносно скенирање које спроводи Метасплоит може вам рећи да ли ваши АПИ потписи одају основне технологије и оперативни систем или не; прикривање овога често је пола битке добијене у АПИ безбедности.
Иако је оквир отвореног кода генерално довољан, постоје одлични плаћени производи изграђени на Метасплоит-у које вреди погледати. Про план је одличан ако желите врхунску подршку и детаљно ћете користити оквир, али генерално није неопходан ако је ваш тим довољно искусан.
АппТрана
АппТрана наменска АПИ заштита карактеристике нуде свеобухватно решење засновано на ризику за заштиту од широког спектра АПИ претњи, укључујући ОВАСП АПИ топ 10, ДДоС и нападе засноване на ботовима, уграђене претње, цурење података, итд. Са неограниченим аутоматским скенирањем АПИ-ја подржаним ручним оловком тестирање, континуирано прати ваш резултат ризика како би ојачао безбедносни положај.
АппТрана АПИ заштита обезбеђује најсвеобухватније решење са комбинацијом детекције ризика, детекције претњи АПИ, политика позитивне безбедности АПИ, ДДоС смерница специфичних за АПИ, модула специфичних за АПИ и функција откривања АПИ-ја.
Његово откривање АПИ-ја обезбеђује потпуну видљивост АПИ позива, укључујући недокументоване АПИ-је и АПИ-је у сенци, да би се разумела површина вашег АПИ напада. Ова наменска заштита АПИ-ја прикупља информације о детаљима корисника, понашању коришћења АПИ-ја, активности претњи, мапама позива АПИ-ја и још много тога да би приказала статус заштите помоћу аналитике у реалном времену.
Користећи Индусфаце АппТрана, можете да генеришете прилагођене политике специфичне за АПИ да бисте блокирали злоупотребу фокусирану на АПИ у реалном времену.
Цлоудфларе
Не само ЦДН већ Цлоудфларе нуде обиље безбедносних функција као што су ВАФ, ограничавање брзине, ДДоС заштита, што ће бити од суштинског значаја за заштиту вашег АПИ-ја од онлајн претњи.
Инвицти
Инвицти долази са УСП-ом „скенирања заснованог на доказима“. Једноставније речено, често је могуће да се неправилни мрежни услови или нека мање позната понашања АПИ-ја тумаче као безбедносне рупе, за које се касније утврди да су погрешне.
Ово троши ресурсе, као што су све пријављене рањивости, потребно је поново ручно скенирати да би се потврдило да нису лажно позитивни. Инвицти каже да је алат у стању да вам пружи довољно јак доказ концепта за извештаје, отклањајући сумње у пронађене слабе везе.
Са компанијама као што су Сони, Религаре, Цоца-Цола, Хуавеи, итд., на њиховој листи клијената, можете бити сигурни да ови људи раде нешто како треба. 🙂
СоапУИ Про
Направио СмартБеар, СоапУИ Про је интуитиван и лак начин креирања АПИ тестова и добијања тачних извештаја о њима заснованих на подацима. Такође се уредно интегрише са вашим ЦИ/ЦД цевоводом, пазећи да ниједан нови додатак кода не угрози безбедност вашег АПИ-ја.
СоапУИ може да ради са Сваггер-ом, ОАС-ом и другим популарним АПИ стандардима, значајно смањујући време за почетак. Са клијентима као што су Мицрософт, Цисцо, МастерЦард, Орацле, итд., и плановима који почињу од 659 УСД годишње, ово је достојан алат за сигурније АПИ-је.
Окта
Покушати Окта како бисте омогућили вашим програмерима да се концентришу на побољшање корисничког искуства, као и да ефикасно обезбеде ваше пословне податке. Нуди ОАутх 2.0 ауторизацију и дизајниран је и за мобилне и за веб апликације. Такође је компатибилан са услугама управљања АПИ-јем трећих страна.
Користите Окта за креирање, ревизију и одржавање свих смерница за приступ АПИ-ју преко прилагођених и наменски направљених конзола без потребе за прилагођеним кодовима. Нуди вам додатну флексибилност тако да не морате да обезбеђујете своје АПИ-је помоћу додатних инстанци мрежног пролаза.
Окта обухвата политику засновану на идентитету за контролу различитих типова корисника и услуга под једним кровом. Дефинишите приступ у зависности од корисничких профила, мрежа, група, сагласности и клијената. Проширите токене користећи динамичке податке из ваших интерних система да бисте уживали у бржој интеграцији и беспрекорној миграцији.
Олакшава централизовану администрацију за АПИ-је и омогућава вам да заштитите АПИ ресурсе. Окта се фокусира на безбедност тако што вам омогућава да заштитите приступ између различитих микро-услуга.
Закључак
Ту је нема недостатка АПИ безбедносних алата доступних на тржишту, било да су отворени код, бесплатни или комерцијални, или било која комбинација ових.
Испробајте неколико њих са листе и видите шта најбоље одговара вашим захтевима.