如何创建和设计以确保 API 的安全性
发布时间:2022-05-24 10:07:17 所属栏目:安全 来源:互联网
导读:面对常见的OWASP十大威胁、未经授权的访问、拒绝服务攻击、以及窃取机密数据等类型的攻击,企业需要使用通用的安全框架,来保护其REST API,并保证良好的用户使用体验。本文向您介绍四种类型的API安全保护方式。 API的安全性涉及到各种端到端的数据保护,它
|
面对常见的OWASP十大威胁、未经授权的访问、拒绝服务攻击、以及窃取机密数据等类型的攻击,企业需要使用通用的安全框架,来保护其REST API,并保证良好的用户使用体验。本文向您介绍四种类型的API安全保护方式。 API的安全性涉及到各种端到端的数据保护,它们依次包括:来自客户端的请求经由网络到达服务器/后端,由服务器/后端发送相应的响应,响应横跨网络,最后到达客户端,这一系列的过程。因此,API的安全性可以大致分为如下四种不同的类别,我们将逐一进行详细讨论: (1)传输中的数据安全 保护客户端与API网关之间的动态数据 保护API网关与后端服务之间的动态数据 (2)访问控制与抵御拒绝服务(DoS)攻击 (3)身份验证与授权:使用OAuth2.0或OpenID Connect,来可靠地识别最终用户的信息 (4)数据保密与屏蔽个人身份信息(Personally Identifiable Information,PII) 描述了上述分类,以及各种端到端的数据保护方法: 1. 传输中的数据安全 对于所有公共且不受保护的API来说,我们必须用到TLS。如今随着硬件的进步,TLS的实施开销几乎可以忽略不计了,而且随着延迟在逐渐减小,越来越多的最终用户会处于安全考虑而选用TLS。总的说来,TLS具有如下主要特点: TLS应当在北向(northbound)和南向(southbound)端点同时实施。 应确保使用TLS的最新版本,并对客户端、API网关和目标后端予以支持。 证书密钥、以及信任凭证的存储都应该受到高度保护和加密。 只有经过授权的用户才能访问证书密钥、以及信任凭证。 2. 访问控制与抵御拒绝服务(DoS)攻击 (1) 网络级别的防御:如果API网关被托管在云端,则需要使用由云服务商所提供的 DDoS防御机制,例如:由Apigee(Google)所运营的Apigee Edge托管云平台、 GCP(Google云平台)和AWS(Amazon Web),它们都提供了网络级别的DDoS防御。 (2) 内容交付网络:像Akamai、Neustar和Rackspace之类的CDN,都可以用于缓解那些对于API的DDoS攻击。 (3) “僵尸”检测:如今各大API管理平台都已经针对僵尸/机器人类型的攻击,推出了检测API流量,识别各种恶意/非必要请求,并生成警报/阻止恶意请求到达的API网关服务。例如:Apigee(Google)提供了一种称为“Apigee Sense”的检测服务。它是一种智能数据驱动的API安全产品,它可以通过自动识别各种可疑的API客户端行为,以提供额外的保护层。同时,管理员也可以在此基础上通过纠正性措施,来保证用户的体验度,以及后端系统的安全性。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号