专栏首页智能计算时代【物联网安全】通过API管理最小化物联网安全失误

【物联网安全】通过API管理最小化物联网安全失误

物联网的采用在不同行业中迅速增长并不是秘密。在我的最后一篇文章中,我讨论了基于blockchain的IoT安全策略,这是一个不断发展的主题,我发现重要,经常被忽视。在更广泛的物联网方案中,区块链技术的出现只是保护IoT设备的许多方式之一。成功的IoT安全架构将需要多个控制层。在这篇文章中,我想看看物联网安全流程,并进一步了解企业可以采取的另一步,以更好地保护连接的设备和客户数据免受攻击和破坏。

这可能对一些人来说是震惊,但是最近一次最大的IoT安全漏洞的震中起始于安全性较差的应用程序接口(API)。API定义为一组用于构建软件应用程序的例程,协议和工具。以下是一个简短的例子,说明安全性不好的API可能会对日产眼睛产生负面影响。最近发现,全球最畅销的电动汽车“日产叶”很容易受到黑客的攻击,黑客们可以获得关于车辆运行和旅行的私人信息,甚至控制关键的车辆功能。当日产叶所有者注意到,对于API端点的请求不需要任何身份验证,而不是轻松的黑客可访问的车辆识别号(或VIN),给予攻击者能够控制别人的车的功能,这个信息被发现非常容易这不是一辆新车非常令人兴奋的功能。

在这样的情况下,像API端点一样至关重要的东西被忽视,反过来又使驱动程序有被盗用的风险。随着设备的激增和各种新型设备类型的出现,企业在实施IoT设备时忽视API安全性太容易了,但实际情况是,不正确的API可能会导致严重的头痛,并可能将严重的漏洞引入到产品。随着连接设备的发展,通过API的设备交互是API的主要用例之一,根据IBM,未来几年将会呈指数级增长。此外,2016年API的供应商中有44%表示,物联网将在未来两年推动API增长最多。随着物联网设备的不断兴起,企业领导者必须使安全的API管理成为其安全策略的核心部分。否则,将危及组织的连接设备和客户数据的安全性。

随着我们走向未来,一切都将与B2C行业和B2B企业形成威胁。在这个过度连接的世界中,对物联网设备安全的统一方法是固有的。但是,市场上存在许多不相交或不完整的API管理解决方案,这些解决方案正在为API和连接设备的安全问题做出贡献。

然而,由于所有这些风险和即将来临的物联网安全障碍,组织的决策者可以遵循几个步骤,以通过API来维护设备安全性和设备数据安全性:

集成完整的API生命周期管理工具。作为数字安全策略的一部分,将API视为一些组织(例如Nissan等公司)的一个新概念,对某些组织可能不是这样。但是太多的公司忽视了API安全性非常简单,至关重要的第一步:管理完整的API生命周期。API开发过程(API设计到创建到运行时到产品管理和API治理)必须以安全的态度以整体方式来处理。而不是每个开发人员,部门或解决方案都创建自己的API治理和安全策略,必须执行企业API安全策略和最佳做法。实现强大的身份验证和授权访问连接的设备。

实施广泛的安全策略。 IoT软件架构,协议和标准根据用例和设备而有所不同。确保API管理解决方案支持从内部部署到云到混合的各种架构,并将IoT协议视为一流的公民。必须通过安全的API保护运动中不同装置的IoT数据。

监控适当的API版本管理。随着物联网设备的不断扩展和不同的固件版本,多种版本的API的扩散潜力是固有的风险。最佳实践要求将所有IoT设备升级到最新的固件,并且应该使用单个或高度有限数量的API版本。具有类似功能的新版本或等效的API可能导致API数量和老化的爆炸。评估可用的API和版本管理以退出旧的或重复的API需要通过企业API审核流程实现。

充分发挥API整个生命周期的作用,对实施物联网技术的企业产生了许多积极的影响。例如,在使用连接的设备或业务服务时,客户不易受到攻击的安全性及其数据安全。或者根据客户使用连接的设备(某些组织有时被忽视)扩展和改进设备功能的能力。想要将焦点集中在物联网市场的组织不能忽视API管理和安全的重要性,特别是随着物联网向更大的自主权发展。

本文分享自微信公众号 - 智能时刻(intelligentx),作者:南极真君

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 「微服务架构」部署NGINX Plus作为API网关,第1部分

    现代应用程序体系结构的核心是HTTP API。HTTP使应用程序能够快速构建并轻松维护。无论应用程序的规模如何,HTTP API都提供了一个通用接口,从单用途微...

    首席架构师智库
  • 【API测试】使用Dredd测试您的API

    通常,在开发应用程序时,前端和后端开发人员在实现路径上采用两条不同的路径。前端开发人员更多地是设计驱动的,而后端开发人员则更注重数据。这通常会导致潜在的整合差距...

    首席架构师智库
  • 「主数据架构」介绍下一代主数据管理(MDM)

    主数据管理是旨在创建和维护权威、可靠、可持续、准确、及时和安全的环境的过程和技术框架。这个环境代表了一个单一版本的事实,作为跨不同的系统、业务单元和用户社区的可...

    首席架构师智库
  • 再谈 API 的撰写 - 架构

    在 再谈 API 的撰写 - 总览 里我们谈到了做一个 API 系统的基本思路和一些组件的选型,今天谈谈架构。 部署 首先要考虑的架构是部署的架构。部署的方案往...

    tyrchen
  • API,打开“共享之门”的最好钥匙

    我们经常听到开发人员讨论API。API与APP一词看上去很相似,对于APP我们很熟悉,即是应用程序Application的缩写,随着智能手机的普及这一词成了手机...

    BestSDK
  • Apache Flink 数据流编程模型

    Statefule Stream Processing: 是最低级别(底层)的抽象,只提供有状态的流。它通过ProcessFunction嵌入到DataStre...

    chaplinthink
  • 《软件测试52讲》读书笔记 —— API测试怎么做

    文章中还介绍了测试工具,比如cURL、postman,单API如何测试;但这些都是偏基础的东西,且网上教程各式各样,就不再赘述了;这里主要讲的就是关于复杂场景的...

    小菠萝测试笔记
  • 【史上最全】国内外常用精品API接口汇总

    API是获取网络服务最便捷的方式,合理地使用API开发项目可以大大提高开发效率,把精力都集中在程序的业务逻辑之上,避免重复造轮子。推荐给大家个人觉得很赞的第三方...

    凯哥Java
  • 如何设计优秀的API(一)

    1. 不要暴露过度(Do not expose more than you want)

    用户5224393
  • 来自Google资深工程师的API设计最佳实践

    版权声明:本文为博主汪子熙原创文章,未经博主允许不得转载。 https://jerry.blog....

    Jerry Wang

扫码关注云+社区

领取腾讯云代金券