2019 年针对 API 安全的 4 点建议

madneal

发布于 2019-11-26 14:38:09

8570

发布于 2019-11-26 14:38:09

文章被收录于专栏：madMenmadMen

原文：4 Tips for Better API Security in 2019 译者：neal1991 welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me LICENSE: MIT

无论是在科技媒体亦或是分析报告中，2018年 “API”以及“安全”变得越来越常见，-或者更糟糕，“API” 以及“违规”一起出现在头条中。

APIs（应用程序编程接口）不仅是应用程序，系统和数据之间的连接组织，而且是允许开发人员利用和重用这些数字资产以实现新目的的机制。API 几乎影响到每个数字用例，它们在安全新闻中的作用不仅仅是 API 中的一个内在缺陷，因为它们中的一些已被破解，因此存在明显的缺陷。

但是头条新闻强调了一个重要信息：如果 API 安全性不是企业 2019 年优先事项的首要事项，那么优先级列表就不完整。

实际上，API 安全的要求正在成为一种共识：

在 2017 年 12 月的报告“如何构建有效的API安全策略中，”Gartner 分析师 Mark O'Neill， Dionisio Zumerl e和 Jeremy D'Hoinne 预测，“2022年，API 滥用将是最常见的攻击向量，导致企业网络应用程序的数据泄露。”
OWASP Top 10是一个备受推崇的 Web 安全威胁列表，其中多次提及 API。其明确的警告包括针对没有保护即传输敏感数据的 API 的警告，针对可疑行为而未监控流量的 API 以及使用易受攻击组件的 API。
医疗保健组织 HIMMS 发布报告详细说明了 2018 年风险不安全的 API 可能对敏感的医疗保健数据造成的影响。

调查显示企业已经特别关注关于威胁机器人和分布式拒绝服务（DDoS）攻击代表 API。尽管存在这些关注，但攻击风险仍然存在 - 特别是当企业缺乏对其 API 如何被利用的洞察力时。许多组织甚至仍然不知道他们部署了多少 API，是否有人使用 API，或者 API 是否正在推动流量。

当然，与 API 相关的违规和安全事件的数量越来越多，证明了 API 安全的重要性。一个政府机构的脆弱性允许任何登录用户不恰当地查询系统以获取其他用户的私人详细信息，包括电子邮件地址，电话号码和街道地址。其他机构已经暴露了更敏感的数据。它们所带来的漏洞和损害各不相同 - 但重点是，依靠设计糟糕且管理不善的 API 可能会随着时间的推移风险越来越大

企业应如何应对这一日益严重的威胁以下是 Google Cloud 的 Apigee 团队推荐的四个建议。

以 TLS 为基础

“传输层安全性”或 TLS 加密流量，有助于确保客户端与正确的服务器通信，并且是 API 安全性的基础。API 不应该没有它。
跟上 TLS 的变化 - 因为它们很常见。许多 API 团队使用 Qualisys SSL Labs 的 SSL Server Test 等服务测试 TLS 配置。
考虑使用跟踪工具，数据屏蔽和标记化来除了加密。