原文:4 Tips for Better API Security in 2019

译者:neal1991

welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me

LICENSE: MIT

kMqL3d.md.png

无论是在科技媒体亦或是分析报告中,2018年 “API”以及“安全”变得越来越常见,-或者更糟糕,“API” 以及“违规”一起出现在头条中

APIs(应用程序编程接口)不仅是应用程序,系统和数据之间的连接组织,而且是允许开发人员利用和重用这些数字资产以实现新目的的机制。API 几乎影响到每个数字用例,它们在安全新闻中的作用不仅仅是 API 中的一个内在缺陷,因为它们中的一些已被破解,因此存在明显的缺陷。

但是头条新闻强调了一个重要信息:如果 API 安全性不是企业 2019 年优先事项的首要事项,那么优先级列表就不完整。

实际上,API 安全的要求正在成为一种共识:

调查显示企业已经特别关注关于威胁机器人和分布式拒绝服务(DDoS)攻击代表 API。 尽管存在这些关注,但攻击风险仍然存在 - 特别是当企业缺乏对其 API 如何被利用的洞察力时。许多组织甚至仍然不知道他们部署了多少 API,是否有人使用 API,或者 API 是否正在推动流量。

当然,与 API 相关的违规和安全事件的数量越来越多,证明了 API 安全的重要性。 一个政府机构的脆弱性允许任何登录用户不恰当地查询系统以获取其他用户的私人详细信息,包括电子邮件地址,电话号码和街道地址。其他机构已经暴露了更敏感的数据。它们所带来的漏洞和损害各不相同 - 但重点是,依靠设计糟糕且管理不善的 API 可能会随着时间的推移风险越来越大

企业应如何应对这一日益严重的威胁 以下是 Google Cloud 的 Apigee 团队推荐的四个建议。

以 TLS 为基础

专注于身份验证

使用速率限制来防止暴力攻击并管理流量

使用行为模式和机器学习将坏机器人放在适当位置

企业 IT 中为数不多的确定的事情之一是,只要企业使用技术,坏的参与者就会试图找到漏洞。挑战很多,但它们也是成功的一个不可避免的一部分,随着公司的数字化越成功,它可能吸引的攻击者就越多。

以上建议是一个起点,但企业需要积极主动,始终意识到在为开发人员提供用户友好的 API 以及保护其免受攻击者攻击之间保持平衡,这是一个微妙而迭代的过程。 除了技术方面的考虑之外,还有安全的人性方面 - 企业围绕其 API使 用的服务条款,它传递 API 变更或响应违规的方式等。

虽然没有自满的余地,但企业不会被不良行为者所俘虏,也不会越来越复杂。如果企业对 API 安全保持合适的关注,那么将会尽可能地确保2019年 那些 API 安全地头条将会是*其它*公司的违规。

[对管理API和推动数字业务的更多提示感兴趣? 请参阅 Apigee 的新电子书,“API产品思维模式。”]