加入收藏 | 设为首页 | 会员中心 | 我要投稿 云计算网_泰州站长网 (http://www.0523zz.com/)- 视觉智能、AI应用、CDN、行业物联网、智能数字人!
当前位置: 首页 > 服务器 > 安全 > 正文

企业部署到云的 API 驱动应用程序应谨慎这些安全事项

发布时间:2022-06-08 15:17:53 所属栏目:安全 来源:互联网
导读:在过去几年中,API 驱动的应用程序在企业级云平台上部署以扩展规模兴起。它们能够根据用户需求进行扩展,彻底改变了应用程序的编写和部署方式。通常,这些分布式应用程序部署在 Kubernetes 平台上,以便更轻松地管理、编排和部署微服务容器。 DevOps 团队投
  在过去几年中,API 驱动的应用程序在企业级云平台上部署以扩展规模兴起。它们能够根据用户需求进行扩展,彻底改变了应用程序的编写和部署方式。通常,这些分布式应用程序部署在 Kubernetes 平台上,以便更轻松地管理、编排和部署微服务容器。
 
  DevOps 团队投入了大量资源,以确保他们在 Kubernetes 基础设施平台上运行的应用程序安全可靠,不会被利用。这可以包括强化操作系统,通过跨集群的微分段防止横向移动,以及通过严格的 RBAC 控制来限制访问来防止未经授权的访问。
 
  以下是企业在评估 API 安全解决方案时应考虑的一些关键标准。
 
  1. API 可见性和监控:你无法保护看不到的东西
  尽管 API 使用量呈爆炸式增长,但许多安全和开发团队仍无法回答有关其 API 程序的基本问题——例如我们有多少、谁拥有它们以及它们做什么。在当今复杂的威胁环境中,这给企业带来了巨大的安全风险。
 
  为了防范安全风险,企业了解其 API 程序的所有方面及其相关的安全挑战至关重要。这可以更好地帮助领导者通过适当的缓解策略改善其组织的安全状况。
 
   在寻求解决这些常见的 API 安全挑战时,提出问题以评估和降低风险程度会有所帮助。有许多问题需要考虑:我们拥有的 API 有什么作用?API 所有者是谁?哪些 API 需要遵守法律或法规?我们如何监控 API 中的漏洞?我们的 API 是否会暴露敏感数据或 PII,这是否会导致我们不合规?我们如何测试和衡量 API 监控的有效性?
 
  2. API 安全性:不同类型的应用程序安全性
  大多数拥有 Web 应用程序的企业都将拥有 Web 应用程序防火墙 (WAF) 以进行安全保护。然而,随着企业继续扩大其 API 驱动的应用程序,他们发现传统的 WAF 无法很好地适应单体应用程序的需求,无法满足现代 API 驱动的应用程序的需求。
 
  由于 API 驱动的应用程序的编写方式非常独特,这使其成为一个单独的可利用漏洞类别,这些漏洞与其 OWASP 前 10 名 Web 兄弟非常不同。有效保护单体 Web 应用程序漏洞免受 OWASP 的 10 大 Web 漏洞攻击的安全方法在 API 世界中并不能很好地转化。
 
  如果企业正在寻找 API 安全解决方案,应该考虑以下三个标准:
 
  发现:识别企业环境中的所有 API。理想情况下,API 安全工具应该知道定义允许的 API 请求的 API 参数。例如,API 应该只允许用户响应 255 个字符串字符。通常,未经验证的 API 响应可用于利用应用程序漏洞。
  学习:API 安全工具应该能够从用户驱动的流量中学习 API 行为。这允许 API 安全解决方案的机器模型了解定义正常应用程序行为的所有细微差别。用户行为的轻微和突然偏差会通过警报向安全运营团队显示。
  适应:在敏捷环境中开发的大多数现代应用程序都在迅速变化。API 安全解决方案应该能够自动调整其安全模型以不断适应所有新变化,以确保应用程序安全始终与 DevOps 保持同步。
  3. 威胁分析:在网络攻击发生时检测它们
  当网络犯罪分子从应用程序中泄露敏感数据时,他们会采取必要的预防措施来逃避检测。为了对抗它们,需要威胁分析来检测访问您的应用程序的用户之间的恶意活动。
 
  从应用程序中获得的数据的质量和广度将决定企业的安全保护级别,并影响其在多长时间内检测到即将发生的网络攻击。随着应用程序变得更加复杂和分布式,更多地了解应用程序的内部工作原理、工作方式、业务逻辑以及与其他第三方技术合作伙伴的交互变得更加重要。
 
  收集应用程序内所有点的数据交互可确保其全面了解所有用户与应用程序的交互。数据集越丰富,就越容易将恶意与合法用户交易区分开来,并使企业的安全团队能够尽快发现数据泄露。
 
  API 安全平台应使安全团队能够执行以下操作:
 
  威胁搜寻:安全分析师可以通过数据湖搜索正在进行的活动。
  跟踪攻击者:当攻击者深入挖掘应用程序时,您可以跟踪杀伤链活动,例如侦察或扫描活动。
   结论
  快速变化的 API 驱动应用程序有助于加快产品上市速度,但也释放了可被网络犯罪分子快速利用的 API 漏洞。可以很好地保护单体 Web 应用程序的应用程序安全产品在保护 API 驱动的应用程序方面无法很好地扩展。
 
 
  获得专门针对 API 应用程序的适当应用程序安全解决方案将帮助企业更好地防御不断增加的 API 驱动的网络攻击,这些攻击旨在利用企业最有价值的资产——数据。

(编辑:云计算网_泰州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0523zz.com/ All Rights Reserved. 云计算网_泰州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330476号