让云API远离黑客攻击

没有合适的安全措施,云API就会成为黑客的一扇门。那么如何确保云API的安全呢?

开发者可以使用云应用编程接口编码,而这个接口具备一项云提供商的服务。但是同时对于云应用也是危险的,因为API也具备受攻击的一面,可能危害敏感业务数据。这意味着提供商和软件开发者需要按优先次序确定云API的安全。

无会话安全实践促进更好的云端可扩展性

首先,像数据体内或者在简单对象访问协议头的用户名和密码是不安全的。相反,开发者应该使用无会话安全实践,别不HTTP认证,基于口令的认证或者Web服务安全。无会话安全也促进了更好地云服务可扩展性,因为任何服务器都可以处理用户请求,而且无需在它们之间共享会话。

开发者应该确定是否一个API执行了第二次安全检查,比如用户是否有合适的授权去查看、编辑或者删除服务和数据。一旦最初的认证是清晰的,开发者通常忽略了第二次的安全策略。

云提供商和开发者应该针对常见威胁测试云API安全,比如注入式攻击和跨站伪造。对于云服务提供商正在创建的API,测试尤为重要。然而,用户应该独立的核实云API安全,因为其对于审计和法规遵从非常重要。

如果加密密钥是API调用访问和认证方法论的一部分,就要安全地存储密钥,而且永远不要将其编码到一个文件或者脚本里面。

执行API变更报告

虽然安全是云API构造和使用的一个关键部分,但是对于考虑变更日志和报告特性也很重要。这个特性可以帮助追踪用户访问的云资源以及数据和配置变更。

软件开发者引用一个或者更多的云API调用改变了云托管的数据,发布了新的计算资源,并且变更了资源供应到一个云实例。每一个这种活动都应该生成日志追踪,开发者可以方便地访问。综合日志对于审计、法律追踪和其他的法规 问题至关重要。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-09-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏carven

体验koa

之前使用nodejs开发后台服务,使用的一直是express。 后来了解到express开发团队重新开发了一个框架koa。

9700
来自专栏拂晓风起

win 7 Word 2007 插入图表出错。部分图表类型不能和其他图表类型组合,请选择其他图标类型

27130
来自专栏java一日一条

Linux 新手容易犯的 7 个错误

改变操作系统对于任何人来说都是迈出的一大步,特别是当许多用户不确定操作系统究竟如何的时候,尤其如此。

16510
来自专栏FreeBuf

如何使用Twitter构建C;C服务器

写在前面的话 社交媒体网络对于企业的市场营销团队来说,绝对是一个非常好的推广平台。如果能够正确使用它们的话,绝对可以帮助企业带来新的商机。因此,社交媒体平台(例...

29150
来自专栏吴伟祥

swagger-ui教程-构建api接口文档工具

之前写过关于app后端开发的一系列文章,那是我第一次做app后端开发,存在很多不足,本想好好修改一下,想想还是重新写吧,这样子也能让我博客文章看起来多一点嘛,万...

15210
来自专栏java思维导图

一篇文章弄懂CDN技术原理

概述 Internet的高速发展,给人们的工作和生活带来了极大的便利,对Internet的服务品质和访问速度要求越来越高,虽然带宽不断增加,用户数量也在不断增加...

69930
来自专栏网络

如何设计开发好一个 HTTP API?

在过去的几年里,我使用着各式各样的HTTP API。这些API通常不是公开的,只是提供给合作伙伴公司。此外,我也看了很多开发者提供的API,自己也参与了几个AP...

26470
来自专栏资深Tester

怎样才能提交一个让开发人员拍手叫好的bug单

29830
来自专栏测试开发架构之路

APP测试点总结

1.功能性测试:   ——根据产品需求文档编写测试用例。   ——软件设计文档编写用例。   注意:就是根据产品需求文档编写测试用例而进行测试。 2.兼容性测试...

57770
来自专栏FreeBuf

Harpoon:OSINT威胁情报工具

Harpoon是一款自动化的用于从各种公开资源中收集威胁情报的工具。它是由Python 3编写的,并在其设计中体现了模块化思想,每个平台和任务都会有一个插件。大...

22030

扫码关注云+社区

领取腾讯云代金券