精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:數(shù)據(jù)中心技術專區(qū) → 正文

數(shù)據(jù)中心管理人員可以做些什么來保護API

責任編輯:cres 作者:Maria Korolov |來源:企業(yè)網(wǎng)D1Net  2019-10-16 10:55:50 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

API使應用程序的特性更加豐富和動態(tài),但它們也增加了攻擊面。
 
API或應用程序編程接口是多個計算機程序相互通信的一種方式。例如,網(wǎng)站可以使用API??從數(shù)據(jù)庫請求信息或?qū)⑿畔鬟f給第三方服務。移動應用程序經(jīng)常使用API??將數(shù)據(jù)來回發(fā)送到中央服務器。傳統(tǒng)的網(wǎng)站正迅速被高度交互的基于API的網(wǎng)站所取代。API也是企業(yè)應用程序的關鍵,它取代了原有的信息交換機制。
 
根據(jù)Akamai公司今年早些時候發(fā)布的一份報告,API調(diào)用現(xiàn)在占所有Web流量的83%。這意味著提供了功能更強大、功能更豐富的應用程序,但同時也意味著更大的安全風險。根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查,到2021年,將有90%的啟用Web的應用程序以暴露的API而非用戶界面的形式具有更大的攻擊面,而2019年為40%。到2022年,API濫用將成為最常見的攻擊。
 
例如,麥當勞公司的API公開了其移動交付應用程序用戶的個人數(shù)據(jù)。由于API導致數(shù)據(jù)泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美國國稅局也遭遇了API數(shù)據(jù)泄漏的事件。
 
總部位于波士頓的安全機構(gòu)Cyber??eason公司的首席信息安全官Israel Barak表示,“在過去的五六年中,API成為越來越大的問題。業(yè)務、系統(tǒng)和應用程序之間的互連性的增加加速了面向公眾的API的采用。然后便是微服務和容器等服務的使用。”
 
以一個用于預訂航班的網(wǎng)絡應用為例。如果它是傳統(tǒng)的整體應用程序,則用戶將選擇一個航班,獲取報價,付款并預定。他們將按順序完成所有這些步驟。Barak說,“交易過程確保第一步發(fā)生在第二步之前。”
 
現(xiàn)在,網(wǎng)絡上的同一應用程序可能是一組獨立功能,每個功能都調(diào)用一個單獨的API。一個乘客可能會向支付系統(tǒng)發(fā)送請求。另一個乘客可能會向航空公司發(fā)送預訂航班的請求。利用公開的API,黑客可以跳過付款步驟而直接進入預訂步驟。此外,攻擊者也可能劫持確認所有用戶信息,并獲取其他客戶的姓名、地址和付款明細的API。
 
有時,即使是完全無害的API也會造成損害,Barak說。例如,在用戶選擇城市所在的國家/地區(qū)后,網(wǎng)絡表單通常會提供城市列表。如果城市列表是通過API提供的,則攻擊者可以發(fā)送大量假請求,足以關閉該特定服務-并使整個Web表單停止運行。Barak說,“而且不能使用驗證碼,因為另一邊沒有人。”
 
總部位于圣馬特奧的網(wǎng)絡安全機構(gòu)PerimeterX公司聯(lián)合創(chuàng)始人兼首席技術官Ido Safruti表示,當人們使用API??來驗證信用卡且訪問權(quán)限未得到適當鎖定時,還會發(fā)生另一種常見的API濫用。他說:“我可以直接采用API并嘗試驗證被盜的信用卡或者禮品卡,這更容易,因為不需要用戶的姓名或郵政編碼。”
 
他補充說,“這種第三方API的使用非常難以鎖定。作為數(shù)據(jù)中心運營商,如果其應用程序在數(shù)據(jù)中心之外調(diào)用API,那么可能對此完全一無所知。”
 
從后臺到前臺
 
在以往,企業(yè)的應用程序在內(nèi)部網(wǎng)絡內(nèi)相互通信,可以安全地隱藏在防火墻后面。應該說,這意味著訪問和身份驗證問題對開發(fā)人員的壓力并不大。實施大量安全檢查會很麻煩,會減慢開發(fā)速度并干擾功能。如今,在混合數(shù)據(jù)中心和萬物實現(xiàn)云化的情況下,但API并沒有企業(yè)的防火墻防護,但是開發(fā)人員經(jīng)常忘記這一事實,并意外地將其公開。
 
BTB Security公司顧問Humberto Gauna說,“保護API并不難。但這需要一定的資源,將會增加公司的成本。”他建議,在構(gòu)建新的API時,企業(yè)應讓安全專業(yè)人員參與早期階段。
 
通常情況下,數(shù)據(jù)中心安全管理人員對開發(fā)人員如何編寫其API并沒有什么要求。但它們可以確保內(nèi)部數(shù)據(jù)庫和服務器得到適當?shù)谋Wo,并確?;谠朴嬎愕姆盏玫竭m當?shù)呐渲?。他們還可以為內(nèi)部部署環(huán)境和云計算部署設置API網(wǎng)關。
 
API網(wǎng)關的優(yōu)缺點
 
并非所有專家都認為API網(wǎng)關是一個好主意。
 
當企業(yè)通過一個或多個API網(wǎng)關匯集所有API流量時,它們可以確?;镜陌踩呗?如加密、身份驗證和訪問控制)得到充分實施。網(wǎng)關還可以執(zhí)行其他操作,如負載均衡和DDoS保護。
 
可以為內(nèi)部部署數(shù)據(jù)中心設置API網(wǎng)關,大多數(shù)主要的云計算提供商都將它們作為基礎設施上托管的系統(tǒng)的服務來提供。Cyber??eason公司的Barak說,該過程從創(chuàng)建數(shù)據(jù)中心公開的所有API的目錄開始。他說,“這是一個良好的安全平臺的核心組成部分,但很多人沒有采用它。使目錄保持最新是很困難的,特別是當開發(fā)新的微服務并在幾天甚至幾小時內(nèi)推出時。”
 
接下來,企業(yè)必須使用自己的令牌(例如API密鑰或OpenID標識符)來標識每個API,并根據(jù)這些令牌控制對數(shù)據(jù)和服務的訪問。Barak說,“沒有授權(quán)令牌,企業(yè)的開發(fā)人員不能公開新的API,而是必須注冊該API。”
 
最后,數(shù)據(jù)中心可以為API流量設置網(wǎng)關。他說,通過實施包括加密和簽名的安全通道,數(shù)據(jù)中心可以對API安全性產(chǎn)生巨大影響。
 
但是一些專家說,要讓企業(yè)的所有開發(fā)人員都參與進來可能很困難。
 
總部位于圣何塞的安全廠商Malwarebytes Labs的主管Adam Kujawa說,“這將是一個理想的選擇。但是數(shù)據(jù)中心運營商不能強迫他們的客戶這樣做。但是,它可以做的是向其客戶或企業(yè)用戶提供API網(wǎng)關作為服務。如果他們不使用該服務,需要確保將它們隔離開來,以免感染數(shù)據(jù)中心的其他部分。”
 
另一個挑戰(zhàn)是,API網(wǎng)關不能總是部署到所有平臺上,并且提供商之間存在差異,這給管理帶來了挑戰(zhàn)。
 
此外,API網(wǎng)關可能是單點故障,并增加了復雜性和管理開銷??偛课挥谂谅灏柾械膽贸绦虬踩虜?shù)據(jù)定理的首席運營官Doug Dooley說,“我們的客戶正在構(gòu)建微服務,其中一種應用程序具有難以置信的規(guī)模,并已在全球數(shù)十個數(shù)據(jù)中心中部署,有不同離散形式的代碼,它們都通過API進行通信,企業(yè)中有成千上萬個API。”
 
他說,“在這種情況下,試圖通過API網(wǎng)關強制執(zhí)行所有操作都是沒有意義的。它不具有可擴展性或成本效益,繞過這個瓶頸很簡單。”
 
FireMon公司技術聯(lián)盟副總裁Tim Woods提出了一種API安全的分布式方法。這種方法可能更加動態(tài)和靈活。對于邊緣計算應用程序來說,速度也更快。他說:“每當企業(yè)必須到中央清算倉庫或中央網(wǎng)關時,都必須擔心延遲。”
 
Barracuda 網(wǎng)絡公司應用程序安全產(chǎn)品管理副總裁Nitzan Miron表示,企業(yè)在尋找基礎設施中所有活動的API時也遇到了問題。當基礎設施包括公共云時尤其如此。他說,“傳統(tǒng)的網(wǎng)絡資源清冊(掃描IP范圍)在IP都由公共云提供商甚至多個提供商動態(tài)分配的情況下是毫無價值的。”
 
但是他補充說, API網(wǎng)關工具已經(jīng)日趨成熟,并且最近開始添加功能來正確審核和控制API訪問。他說:“隨著這些工具的成熟和易于使用,找到合適的工具并安裝在所有公司的API和應用程序上而不會造成業(yè)務中斷的挑戰(zhàn)將會越來越小。”

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

關鍵字:數(shù)據(jù)中心

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

x 數(shù)據(jù)中心管理人員可以做些什么來保護API 掃一掃
分享本文到朋友圈
當前位置:數(shù)據(jù)中心技術專區(qū) → 正文

數(shù)據(jù)中心管理人員可以做些什么來保護API

責任編輯:cres 作者:Maria Korolov |來源:企業(yè)網(wǎng)D1Net  2019-10-16 10:55:50 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

API使應用程序的特性更加豐富和動態(tài),但它們也增加了攻擊面。
 
API或應用程序編程接口是多個計算機程序相互通信的一種方式。例如,網(wǎng)站可以使用API??從數(shù)據(jù)庫請求信息或?qū)⑿畔鬟f給第三方服務。移動應用程序經(jīng)常使用API??將數(shù)據(jù)來回發(fā)送到中央服務器。傳統(tǒng)的網(wǎng)站正迅速被高度交互的基于API的網(wǎng)站所取代。API也是企業(yè)應用程序的關鍵,它取代了原有的信息交換機制。
 
根據(jù)Akamai公司今年早些時候發(fā)布的一份報告,API調(diào)用現(xiàn)在占所有Web流量的83%。這意味著提供了功能更強大、功能更豐富的應用程序,但同時也意味著更大的安全風險。根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查,到2021年,將有90%的啟用Web的應用程序以暴露的API而非用戶界面的形式具有更大的攻擊面,而2019年為40%。到2022年,API濫用將成為最常見的攻擊。
 
例如,麥當勞公司的API公開了其移動交付應用程序用戶的個人數(shù)據(jù)。由于API導致數(shù)據(jù)泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美國國稅局也遭遇了API數(shù)據(jù)泄漏的事件。
 
總部位于波士頓的安全機構(gòu)Cyber??eason公司的首席信息安全官Israel Barak表示,“在過去的五六年中,API成為越來越大的問題。業(yè)務、系統(tǒng)和應用程序之間的互連性的增加加速了面向公眾的API的采用。然后便是微服務和容器等服務的使用。”
 
以一個用于預訂航班的網(wǎng)絡應用為例。如果它是傳統(tǒng)的整體應用程序,則用戶將選擇一個航班,獲取報價,付款并預定。他們將按順序完成所有這些步驟。Barak說,“交易過程確保第一步發(fā)生在第二步之前。”
 
現(xiàn)在,網(wǎng)絡上的同一應用程序可能是一組獨立功能,每個功能都調(diào)用一個單獨的API。一個乘客可能會向支付系統(tǒng)發(fā)送請求。另一個乘客可能會向航空公司發(fā)送預訂航班的請求。利用公開的API,黑客可以跳過付款步驟而直接進入預訂步驟。此外,攻擊者也可能劫持確認所有用戶信息,并獲取其他客戶的姓名、地址和付款明細的API。
 
有時,即使是完全無害的API也會造成損害,Barak說。例如,在用戶選擇城市所在的國家/地區(qū)后,網(wǎng)絡表單通常會提供城市列表。如果城市列表是通過API提供的,則攻擊者可以發(fā)送大量假請求,足以關閉該特定服務-并使整個Web表單停止運行。Barak說,“而且不能使用驗證碼,因為另一邊沒有人。”
 
總部位于圣馬特奧的網(wǎng)絡安全機構(gòu)PerimeterX公司聯(lián)合創(chuàng)始人兼首席技術官Ido Safruti表示,當人們使用API??來驗證信用卡且訪問權(quán)限未得到適當鎖定時,還會發(fā)生另一種常見的API濫用。他說:“我可以直接采用API并嘗試驗證被盜的信用卡或者禮品卡,這更容易,因為不需要用戶的姓名或郵政編碼。”
 
他補充說,“這種第三方API的使用非常難以鎖定。作為數(shù)據(jù)中心運營商,如果其應用程序在數(shù)據(jù)中心之外調(diào)用API,那么可能對此完全一無所知。”
 
從后臺到前臺
 
在以往,企業(yè)的應用程序在內(nèi)部網(wǎng)絡內(nèi)相互通信,可以安全地隱藏在防火墻后面。應該說,這意味著訪問和身份驗證問題對開發(fā)人員的壓力并不大。實施大量安全檢查會很麻煩,會減慢開發(fā)速度并干擾功能。如今,在混合數(shù)據(jù)中心和萬物實現(xiàn)云化的情況下,但API并沒有企業(yè)的防火墻防護,但是開發(fā)人員經(jīng)常忘記這一事實,并意外地將其公開。
 
BTB Security公司顧問Humberto Gauna說,“保護API并不難。但這需要一定的資源,將會增加公司的成本。”他建議,在構(gòu)建新的API時,企業(yè)應讓安全專業(yè)人員參與早期階段。
 
通常情況下,數(shù)據(jù)中心安全管理人員對開發(fā)人員如何編寫其API并沒有什么要求。但它們可以確保內(nèi)部數(shù)據(jù)庫和服務器得到適當?shù)谋Wo,并確?;谠朴嬎愕姆盏玫竭m當?shù)呐渲?。他們還可以為內(nèi)部部署環(huán)境和云計算部署設置API網(wǎng)關。
 
API網(wǎng)關的優(yōu)缺點
 
并非所有專家都認為API網(wǎng)關是一個好主意。
 
當企業(yè)通過一個或多個API網(wǎng)關匯集所有API流量時,它們可以確?;镜陌踩呗?如加密、身份驗證和訪問控制)得到充分實施。網(wǎng)關還可以執(zhí)行其他操作,如負載均衡和DDoS保護。
 
可以為內(nèi)部部署數(shù)據(jù)中心設置API網(wǎng)關,大多數(shù)主要的云計算提供商都將它們作為基礎設施上托管的系統(tǒng)的服務來提供。Cyber??eason公司的Barak說,該過程從創(chuàng)建數(shù)據(jù)中心公開的所有API的目錄開始。他說,“這是一個良好的安全平臺的核心組成部分,但很多人沒有采用它。使目錄保持最新是很困難的,特別是當開發(fā)新的微服務并在幾天甚至幾小時內(nèi)推出時。”
 
接下來,企業(yè)必須使用自己的令牌(例如API密鑰或OpenID標識符)來標識每個API,并根據(jù)這些令牌控制對數(shù)據(jù)和服務的訪問。Barak說,“沒有授權(quán)令牌,企業(yè)的開發(fā)人員不能公開新的API,而是必須注冊該API。”
 
最后,數(shù)據(jù)中心可以為API流量設置網(wǎng)關。他說,通過實施包括加密和簽名的安全通道,數(shù)據(jù)中心可以對API安全性產(chǎn)生巨大影響。
 
但是一些專家說,要讓企業(yè)的所有開發(fā)人員都參與進來可能很困難。
 
總部位于圣何塞的安全廠商Malwarebytes Labs的主管Adam Kujawa說,“這將是一個理想的選擇。但是數(shù)據(jù)中心運營商不能強迫他們的客戶這樣做。但是,它可以做的是向其客戶或企業(yè)用戶提供API網(wǎng)關作為服務。如果他們不使用該服務,需要確保將它們隔離開來,以免感染數(shù)據(jù)中心的其他部分。”
 
另一個挑戰(zhàn)是,API網(wǎng)關不能總是部署到所有平臺上,并且提供商之間存在差異,這給管理帶來了挑戰(zhàn)。
 
此外,API網(wǎng)關可能是單點故障,并增加了復雜性和管理開銷??偛课挥谂谅灏柾械膽贸绦虬踩虜?shù)據(jù)定理的首席運營官Doug Dooley說,“我們的客戶正在構(gòu)建微服務,其中一種應用程序具有難以置信的規(guī)模,并已在全球數(shù)十個數(shù)據(jù)中心中部署,有不同離散形式的代碼,它們都通過API進行通信,企業(yè)中有成千上萬個API。”
 
他說,“在這種情況下,試圖通過API網(wǎng)關強制執(zhí)行所有操作都是沒有意義的。它不具有可擴展性或成本效益,繞過這個瓶頸很簡單。”
 
FireMon公司技術聯(lián)盟副總裁Tim Woods提出了一種API安全的分布式方法。這種方法可能更加動態(tài)和靈活。對于邊緣計算應用程序來說,速度也更快。他說:“每當企業(yè)必須到中央清算倉庫或中央網(wǎng)關時,都必須擔心延遲。”
 
Barracuda 網(wǎng)絡公司應用程序安全產(chǎn)品管理副總裁Nitzan Miron表示,企業(yè)在尋找基礎設施中所有活動的API時也遇到了問題。當基礎設施包括公共云時尤其如此。他說,“傳統(tǒng)的網(wǎng)絡資源清冊(掃描IP范圍)在IP都由公共云提供商甚至多個提供商動態(tài)分配的情況下是毫無價值的。”
 
但是他補充說, API網(wǎng)關工具已經(jīng)日趨成熟,并且最近開始添加功能來正確審核和控制API訪問。他說:“隨著這些工具的成熟和易于使用,找到合適的工具并安裝在所有公司的API和應用程序上而不會造成業(yè)務中斷的挑戰(zhàn)將會越來越小。”

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

關鍵字:數(shù)據(jù)中心

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

電子周刊
回到頂部

關于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 黑山县| 噶尔县| 托克逊县| 高碑店市| 林口县| 崇文区| 儋州市| 富民县| 嘉禾县| 左权县| 石嘴山市| 油尖旺区| 华宁县| 邢台市| 东兴市| 佛学| 瑞金市| 马关县| 突泉县| 濮阳市| 越西县| 哈密市| 康保县| 黎川县| 公主岭市| 滨海县| 营口市| 阿勒泰市| 德钦县| 新田县| 淮南市| 伊宁市| 普兰县| 濮阳市| 昔阳县| 阆中市| 嘉义县| 新巴尔虎左旗| 通化县| 三明市| 临武县|