日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
為什么API網(wǎng)關(guān)不足以保證API安全?API安全之路指向何處

云計算架構(gòu)的出現(xiàn)使企業(yè)重新思考應(yīng)用程序的擴(kuò)展方式,從而推動了企業(yè)擺脫通過虛擬機等基礎(chǔ)設(shè)施部署全棧應(yīng)用程序,而是通過創(chuàng)建由多個互操作服務(wù)組成的 API,采用微服務(wù)方法。

根據(jù) Gartner 的預(yù)測,到 2023 年,超過 50% 的 B2B 交易將擺脫傳統(tǒng)方式,轉(zhuǎn)而通過實時 API 進(jìn)行。

值得警惕的是,雖然 API 的市場規(guī)模增長迅速,但是安全威脅也在增長。目前,雖然API 網(wǎng)關(guān)為 API 安全提供了各種核心功能,在 API 管理和 API 交付中發(fā)揮了重要作用,但是解決 API 的新興風(fēng)險需要傳統(tǒng) API 網(wǎng)關(guān)范圍之外的各種新的復(fù)雜技術(shù)。

什么是 API?

API 是應(yīng)用程序編程接口首字母縮寫,是計算機程序相互交互的一種方式,充當(dāng)了類似于繁忙城市中的交通控制系統(tǒng)的中間人,確保不同區(qū)域之間的交通無縫銜接。

什么是 API 網(wǎng)關(guān)?

在典型的微服務(wù)架構(gòu)中,API 網(wǎng)關(guān)是一種指令和協(xié)議 管理工具,用于處理來自客戶端的請求并決定將它們路由到哪些微服務(wù)以獲取響應(yīng)。

我們可以將其視為一種交通警察或總機,確保將請求傳遞到正確的位置,以便在獲得響應(yīng)的過程中得到正確處理。

對于微服務(wù),必須存在對高效 API 網(wǎng)關(guān)的需求。主要的云供應(yīng)商意識到 API 網(wǎng)關(guān)還可以為公司提供一種便捷的方式來啟動和運行他們的云服務(wù)。

API 安全需要什么?

眾所周知,雖然 API 網(wǎng)關(guān)能夠為開發(fā)人員調(diào)用 API 提供了更明顯的安全層,但是仍然有改進(jìn)的空間。如果網(wǎng)關(guān)無法適應(yīng)其資源,則漏洞管理將成為一個令人難以置信的挑戰(zhàn)。

根據(jù) Gartner 的說法,到 2022 年,API 濫用將從不常見的攻擊向量轉(zhuǎn)變?yōu)樽畛R姷墓粝蛄?,從而?dǎo)致企業(yè) Web 應(yīng)用程序的數(shù)據(jù)泄露。

人們想要減輕面臨的 API 安全威脅,需要正確的安全實施戰(zhàn)略和程序。另外,為了保證 API 的安全還應(yīng)該制定一個包含審計標(biāo)準(zhǔn)、變更控制系統(tǒng)、管理流程、訪問控制措施等在內(nèi)的管理計劃。

為什么 API 網(wǎng)關(guān)的安全性還不夠好?

我們應(yīng)該把 API 網(wǎng)關(guān)和 API 安全區(qū)別開來,不能混為一談。前者的訪問控制功能,僅僅是 API 安全的一部分。更糟糕的是,開發(fā)人員確保應(yīng)用程序正常運行并執(zhí)行其設(shè)計的任務(wù)時,攻擊者可以找到巧妙的方法將應(yīng)用程序變成武器。正如 OWASP API 十大安全文件總結(jié)的一樣,API 安全威脅同樣包括許多伴隨傳統(tǒng) Web 應(yīng)用程序攻擊的漏洞。

隨著支持 API 的服務(wù)價值激增至數(shù)百萬美元,黑客會努力嘗試找到新的方式來獲得不安全的密鑰。主要的三個關(guān)鍵驅(qū)動因素如下:

  • 利用有效 API 令牌的復(fù)雜攻擊可以成功針對應(yīng)用程序業(yè)務(wù)邏輯和數(shù)據(jù)層漏洞。
  • 網(wǎng)絡(luò)攻擊從有效的 API 令牌中獲取里程數(shù),可以成功的攻擊應(yīng)用程序的業(yè)務(wù)邏輯或數(shù)據(jù)層,原因是它們的設(shè)計是針對允許使用 API 的漏洞。
  • API 網(wǎng)關(guān)的主要障礙是它只能監(jiān)控端點,盡管如此,它仍然不能完全描述其提供的可供消費服務(wù)的完整 API 模式(RESTful API 和 API 交互方式)。

可能危及 API 安全的三個常見風(fēng)險

(1) 處理 API 數(shù)量的方法乏善可陳

缺乏關(guān)于公共的、合作伙伴的、私人的和復(fù)合的 API 總數(shù)的信息,使安全團(tuán)隊無法理解一個 API 的真正暴露和風(fēng)險。

(2) 黑客與開發(fā)人員

黑客通過使用工具,甚至更復(fù)雜的方法,侵入開發(fā)者層面的 API,之后可以利用細(xì)微的錯誤來映射 API,了解其結(jié)構(gòu),并找到代碼本身的漏洞。

(3) 小企業(yè) API 安全問題缺乏關(guān)注

相較于大型企業(yè),小企業(yè)無法提供必要的措施來充分保障其數(shù)據(jù),因此所擁有的安全性較低,面臨的安全風(fēng)險也會增多。

WAAP 應(yīng)運而生

現(xiàn)階段,面臨的 API 安全威脅增加,防火墻和網(wǎng)關(guān)等傳統(tǒng)安全工具無法始終為用戶提供防止 API 攻擊所需的防御,WAAP(網(wǎng)絡(luò)應(yīng)用程序和 API 保護(hù))是必不可少的。

另外,考慮到傳統(tǒng)的 Web 應(yīng)用程序防火墻解決方案旨在防止基于每個請求的惡意活動。這意味著它們不會阻止所有形式的網(wǎng)絡(luò)釣魚,包括魚叉式網(wǎng)絡(luò)釣魚攻擊。當(dāng)黑客利用受害者通過電子郵件提供的信息,直接在公司的環(huán)境中進(jìn)行攻擊時,WAAP 能夠確保 API 被屏蔽,不會導(dǎo)致安全隱患。

WAAP 解決方案以四個關(guān)鍵功能為中心:

  • DDoS 保護(hù)
  • 下一代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)
  • 機器人管理
  • API 保護(hù)

通過使用 WAAP 解決方案監(jiān)控進(jìn)入應(yīng)用程序的所有互聯(lián)網(wǎng)流量,企業(yè)可以檢測惡意活動并確保只有受信任的客戶才能在平臺上進(jìn)行合法交易。WAAP 解決方案利用完全托管和基于風(fēng)險的應(yīng)用程序安全方法來管理 Web 應(yīng)用程序,能夠防止網(wǎng)絡(luò)威脅的異?;顒?。


網(wǎng)站欄目:為什么API網(wǎng)關(guān)不足以保證API安全?API安全之路指向何處
當(dāng)前網(wǎng)址:http://www.dlmjj.cn/article/cdsjeid.html