Průvodce zabezpečením API

Průvodce zabezpečením API

Úvod

API jsou zásadní pro zvýšení inovací v naší digitální ekonomice.
 
Garner, Inc předpovídá, že do roku 2020 bude více než 25 miliardy věci se připojí k internetu.
 
To představuje příležitost ke zvýšení výnosů $ 300 miliardy poháněné API. 
 
Přesto API odhalují širší útočnou plochu cybercriminals.
 
Je to proto, že rozhraní API odhalují aplikační logiku a citlivá data.
 
Tento článek popisuje, jak zabezpečit rozhraní API.
 
Probereme REST API vs SOAP API.
 
Projdeme si top 10 OWASP API.
 
Navíc si povíme o osvědčených postupech pro zabezpečení vašich API.

Co je API Economy?

Ekonomika API vzniká, když se API stanou součástí organizačního modelu.
 
Rozhraní API jsou strategickými aktivátory pro několik online obchodních modelů. 
 
Například Amazon je více než internetový prodejce, je to také oblíbená obchodní brána.
 
Platforma Amazonu staví na rozhraních API, která umožňují snadné nastupování nových obchodníků. 
 
Banky již desítky let zakládají platební infrastruktury a clearingová centra na dobře definovaných API.
 
API by měla být nedílnou součástí vaší obchodní strategie.

Zabezpečení webového rozhraní API

Webová rozhraní API propojují klientskou stranu aplikace se serverovou stranou.
 
Zabezpečení webového rozhraní API zahrnuje, ale není omezeno na řízení přístupu a soukromí. 
 
Útok na aplikaci může obejít aplikaci na straně klienta a zaměřit se na rozhraní API.
 
Mikroslužby často používají API, protože jsou dostupné prostřednictvím veřejných sítí.
 
Rozhraní API mohou být citlivá na incidenty typu DDOS typu odmítnutí služby. 
 
Zabezpečení REST API versus zabezpečení SOAP API 
 
Existují dva hlavní typy implementací API:
 
  1. REST (Representational State Transfer). 
 
      2. SOAP (Simple Object Access Protocol).

Zabezpečení REST API

Šifrování Transport Layer Security (TLS) podporuje prostřednictvím rozhraní REST API, která komunikují přes HTTP.
 
TLS šifruje a ověřuje, aby bylo zajištěno, že odesílaná data nemohou číst žádné třetí strany.
 
Hackeři, kteří se snaží ukrást vaši kreditní kartu informace nebude mít přístup k vašim datům. 
 
Rozhraní REST API používají JavaScript Object Notation (JSON). Je rychlejší používat REST API než SOAP API. Nepotřebují uchovávat data, což je činí efektivnějšími.

SOAP API, zabezpečení

Rozhraní API SOAP poskytují vestavěný mechanismus zabezpečení nazývaný zabezpečení webových služeb (WS Security). Kontrolují autentizaci a autorizaci. Používají šifrování XML, podpisy XML a tokeny SAML.

SOAP je správný přístup pro standardizaci a šifrování webových služeb. SOAP je lepší alternativa než REST. 

SOAP omezuje XML, ale REST může spravovat jakýkoli datový formát. JSON je srozumitelnější než XML. Použití REST pro přenos dat šetří peníze za náklady na počítačovou infrastrukturu.

Správa API

Správa API pomáhá podnikům vytvářet jejich digitální zdroje. 

Níže uvádíme několik způsobů, jak spravovat zabezpečení API:

1. Autentizace

HTTP Basic Authentication je metoda, kterou se klient ověřuje pomocí brány API.

2. Ověření OAuth2.0

Standardní mechanismus autorizace je OAuth 2.0.
 
Autorizační rámec OAuth 2.0 umožňuje třetí straně získat omezený přístup ke službě HTTP.
 
Funguje to tak, že aplikaci třetí strany umožníte získat přístup svým vlastním jménem. 
 
 V kontextu toků ověřování OAuth existuje několik různých možností.
 
Mezi podporované toky OAuth patří:
 
  • Tok uživatelského jména a hesla: kde má program přímý přístup k přihlašovacím údajům uživatele.
 
  • Tok webového serveru: kde server může chránit tajemství zákazníka.
 
  • Tok user-agent: používá se aplikacemi, které nemohou uložit zákaznický tajný klíč.
 
Při ověřování OAuth2.0 uživatel odešle přihlašovací údaje v těle požadavku. Stejně jako základní autentizace, ale také zavedení tokenů. Tokeny se ukládají na straně serveru. Stejný token volá službu kolikrát, dokud nevyprší. Uživatelé mohou obnovit, aby získali nový.
 
Problém je v tom, že tato metoda produkuje více tokenů. Tokeny s prošlou platností na serveru zvýší zatížení serveru.

3. JSON Web Token Authentication

Token JWT je objekt JSON a base64 zakódovaný a podepsaný sdíleným klíčem. JWT zajišťuje, že pouze definovaný uživatel může vygenerovat jedinečný token. JWT nejsou šifrované. Každý, kdo má přístup k tokenu, získá data.

Výhody JWT

  • Token obsahuje všechny informace potřebné k ověření uživatele.
  • Je snadné se vyhnout spoléhání na centralizované ověřovací servery a databáze.
  • Ověření zahrnuje zkoumání podpisu a několika dalších faktorů.
  •  JWT je token se střední životností s datem vypršení platnosti mezi několika týdny až delším
  • Škálovatelnost na současném hardwaru webového serveru je snadná…

4. HTTP podpisy

V JWT má autorizační hlavička kódování a podpis base64. Pokud někdo získá token a požadavek JWT, může aktualizovat tělo požadavku HTTP. Podpisy HTTP umožňují klientovi podepsat zprávu HTTP. Ostatní se tedy mohou dotknout požadavku v síti.

Amazon, Facebook a Google používají podpisy HTTP. V roce 2016 vstoupilo do praxe podepisování HTTP zpráv. Jedná se o novou specifikaci rozpracovaného stavu. Podle této specifikace výhoda podepsání zprávy HTTP za účelem zajištění integrity zprávy mezi koncovými body. Klient se může autentizovat stejným mechanismem bez potřeby mnoha smyček.

Pochopení chyb zabezpečení API

OWASP byl vždy autoritou na nejběžnější a nejzáludnější bezpečnostní problémy, které se vyskytují v softwaru, který používáme každý den, a to vše je zálohováno bohatými daty.

Pokud existuje nějaká základní linie, o kterou by se organizace měly snažit, pak je to překonání této OWASP API Security Top 10 uvedených níže.

OWASP API SECURITY TOP 1O

API1: Oprávnění na úrovni poškozeného objektu

API2: Zlomené ověřování

API3: Nadměrné vystavení údajům

API4: Nedostatek zdrojů a omezení sazeb

API5: Poškozená úroveň ověření funkce

API6: Hromadné zadání

API7: Chybná konfigurace zabezpečení

API8: Injekční

API9: Nesprávná správa aktiv

API10: Nedostatečné protokolování a monitorování

NEJLEPŠÍ POSTUPY ZABEZPEČENÍ API

Zde jsou některé z nejběžnějších způsobů, jak zlepšit zabezpečení API:

 

  1. Zjistěte svá zranitelná místa. 

 

Je potřeba udržovat operační systém, síť a komponenty API aktualizované. Hledejte chyby, které mohou útočníkům umožnit získat přístup k vašim rozhraním API. Sniffery detekují bezpečnostní problémy a sledují úniky dat.

 

  1. Umístěte kvótu a omezení.

 

Nastavte kvótu na to, jak často vaše rozhraní API volají, a zkontrolujte využití v historii. Zneužití API se obvykle projevuje prudkým nárůstem hovorů. 

 

  1. Pro připojení k vašemu API použijte bránu API. 

 

Brány API jsou primárním vynucovacím bodem pro provoz API. Umožní vám řídit a analyzovat, jak se vaše rozhraní API ověřují.

 

  1. Použijte žetony.

 

Vytvářejte důvěryhodné identity. Použijte tokeny s těmito identitami k řízení přístupu ke službám a prostředkům.

 

  1. Používejte šifrování a digitální podpisy.

 

Šifrujte svá data pomocí TLS. Využijte digitální podpisy k ověření, že k datům mají přístup a upravují je pouze oprávněné osoby.

 

  1. Zaměřte se na bezpečnost.

 

API by nikdy neměla být považována za náhodná. Organizace mohou hodně ztratit tím, že nezajistí API. V důsledku toho udělejte ze zabezpečení prioritu a zahrňte ho do svých rozhraní API.

 

  1. Ověřte zadání.

 

Nikdy nepřenášejte data do koncového bodu prostřednictvím rozhraní API, aniž byste je nejprve ověřili.

 

  1. Využijte omezení sazeb. 

 

Omezení požadavků pak může pomoci předcházet útokům typu denial-of-service.

 

  1. Používejte robustní autentizační a autorizační systém. 

 

Když rozhraní API nevynucují ověřování, dojde k přerušené autentizaci.

Využijte technologie přihlašování a autorizace, které jsou dobře zavedené, jako je OAuth2.0 a OpenID Connect.

Proč investovat do čističky vzduchu?

Zkontrolovali jsme 10 hlavních zranitelností zabezpečení OWASP API, abychom API lépe chránili.
 
Můžeme řídit řízení rizik pomocí dobře zavedených technik ověřování a autorizace.
 
Například HTTP Signatures, které používají Amazon, Facebook a Google.
 
Zkontrolovali jsme další doporučené postupy pro rozhraní API, včetně použití tokenů a šifrování.
 
Dotkli jsme se také digitálních podpisů a také důležitosti ověřování vstupu.
 
Přečtěte si náš článek o doporučených postupech zabezpečení API v 2022 pro více informací o OWASP API Security Top 10.
Přehled zpráv o kybernetické bezpečnosti s nejnovějšími aktualizacemi

Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne 390,000 XNUMX přihlašovacích údajů, kritická zranitelnost odhalená v Microsoft Azure MFA: Váš souhrn kybernetické bezpečnosti

16. prosince 2024 Bez komentáře

Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne 390,000 390,000 přihlašovacích údajů, kritická zranitelnost odhalena v Microsoft Azure MFA: Vaše shrnutí kybernetické bezpečnosti Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne XNUMX XNUMX přihlašovacích údajů

Čtěte více »

Řešení

Partner AWS
AWS-Qualified-Software

Naše společnost

Naše adresa

Hailbytes

9511 Queens Guard Ct.

Laurel, MD 20723

Telefon: (732) 771-9995

E-mail: info@hailbytes.com

Zůstaňte informováni; zůstaňte v bezpečí!

Přihlaste se k odběru našeho týdenního zpravodaje

Získejte nejnovější zprávy o kybernetické bezpečnosti přímo do vaší schránky.