现在可以规避传统方法,例如数据中心防火墙或Web应用程序防火墙(WAF),为领导者创建强制功能,以重新评估其整个安全程序。前进的重点必须围绕应用程序层漏洞的核心。
如今,公司需要进行更深入的检查,以从安全评估人员的角度了解身份验证,授权,可用性和加密是否正在按预期工作。这在受到严格监管并存储非常敏感数据的行业(例如医疗保健和金融)中至关重要。
API是必不可少的
没有API,就不会有云计算,社交媒体或物联网(IoT)。API在整个堆栈应用程序和整个Internet上传输数据;它们是使数字化转型和创新保持完整并不断发展的粘合剂。
根据Gartner关于其API策略成熟度模型的报告,网络应用程序已经看到40%的攻击是通过API而不是用户界面来进行的。同一位分析师还预测,到2021年,这个数字将增加到90%。由于API可以帮助扩展业务,简化流程并简化开发人员的生活,因此它们对于业务至关重要并且会继续扩展。正如我们所看到的,他们的攻击者和对组织造成严重破坏的机会也是如此。这是因为API也包含庞大且不断扩展的攻击面。
API通常是数据泄露和泄漏数据的来源。有了所有这些微服务,大量的代码就被丢到云或Web应用程序中,这使得清点清单,评估风险和保护大量API变得困难。API最终为黑客提供了一个宝藏地图,可以帮助他们找到最易受攻击的攻击媒介进行数据窃取。
保护所有这些API
在实现API安全之前,我们需要问自己的最大问题是:“发现新的或更改的API或微服务的过程是什么?我们可以轻松地说我们知道我们所有API的位置吗?在我们能找到的那些中,他们的安全态势如何?”
API发现可以改变有关公司应用程序安全方法的一切。这是可视化整个应用程序攻击面的第一步。API不仅会不断地添加到应用程序中,而且经常会被第三方开发人员和开放源代码库使用。
一流的安全策略和方法需要在应用程序堆栈的每一层都包括24/7全天候了解正在使用的每个API以及这些API正在处理的所有客户端数据。例如,移动应用程序通常将包含12到18个第三方SDKs。这意味着将需要对本机代码以及第三方开源和商业SDKs内的安全问题进行静态和动态连续扫描的典型移动应用程序。
由于可以从应用程序堆栈中的任何位置调用API来访问数据,从而使您的移动应用程序能够充当多个用户的单一载体,因此它们同时为存储在整个堆栈中的敏感数据提供了单个入口点。大多数公司购买移动应用程序扫描仪或聘请顾问进行季度审核以发现漏洞。这还不足以跟踪每日的API更改和漏洞,直到为时已晚。
与移动应用程序相似,由于SPA架构的动态和实时呈现特性,传统的Web应用程序扫描程序缺乏向单页应用程序(SPA)中添加安全性见解的能力。他们不知道如何看到使这些新的Web应用程序体系结构在现代开发人员中如此流行的API数据传输层。
一流的API安全性要求对移动和现代Web应用程序进行全面的安全性分析。数据通常先从Web或移动应用程序的客户端层开始,然后再被带到云中。保护敏感数据和保护用户隐私是一项持续的工作,需要从移动设备到Web到后端云服务进行连续的漏洞分析。当今的攻击者通常专注于利用客户端层来劫持移动应用程序或SPA中残留的用户会话,嵌入式密码以及有毒令牌。
保护API还需要自动修复,该修复必须完全集成到CI / CD管道中。我并不是在谈论将评估工具集成到CI / CD管道中,也不是报告发现的针对Jenkins,Bugzilla和Jira等系统的漏洞--这是评估工具的赌注。需要的是对CI / CD管道中的问题进行自动修复。如今,无需等待手动的漏洞验证然后再进行补救,如今的API安全性需要自动修复,从而使开发人员不必花费时间来解决常见问题。
先进的API安全性甚至可以使它更进一步,并提供自动化的漏洞黑客工具包,以进行预定的生产前评估。与上述顾问方案相似,雇用白帽黑客来管理预生产环境中的即时渗透测试。高级选项部署的工具包会执行相同的黑客活动,但要连续进行。使用这种工具包不仅成本效益更高,而且还可以不间断地查找和修复漏洞。
API是必不可少的。它们都是关于连接和协作以共享信息的,但是需要注意确保敏感数据不会通过面向公众的移动,Web和云应用程序在互联网上裸露。
声明:版权所有 非合作媒体谢绝转载
作者:Felicia Haggarty
原文网址:
https://cloud-computing.tmcnet.com/breaking-news/articles/446756-importance-securing-API-cloud-computing.htm
