门户
Portal
论坛
BBS
车友会
car
户外
outdoors
【不实言论举报】
QQ
立即注册
登录
用户名
Email
自动登录
找回密码
密码
登录
立即注册
道具
勋章
任务
设置
退出
畅行社区
»
论坛
›
畅行生活
›
数码IT
›
浅谈API生态建设:API安全策略的6项原则
返回列表
查看:
179
|
回复:
0
浅谈API生态建设:API安全策略的6项原则
[复制链接]
hanniuniu12
hanniuniu12
当前离线
积分
82
9768
主题
9776
帖子
82
积分
认证VIP
积分
82
发消息
发表于 2024-6-28 16:37:20
|
显示全部楼层
|
阅读模式
API作为连接系统与应用的桥梁,在助力实现高效业务流程的同时,也不可避免出现资产管理困难、敏感数据泄漏风险骤增等安全问题。前段时间,安全公司Fastly公布了一项重磅调查报告,报告中显示95%的企业在过去1年中遭遇过API安全问题。本文分享API安全策略的6项原则,为企业API安全管理提参考建议。
原则1:了解API和端点
企业应当明确,如果API端点存在,它就可以被用作入侵途径。提供公共API还会让用户接收来自无数客户、合作伙伴和应用程序的查询。这也会使企业受到攻击。为了保护企业免受攻击,需要考虑一些风险控制措施。
原则2:在创新与安全之间找到平衡
根据您所在的行业,合规性标准会有所不同,有些要求相比其他行业而言,安全性需求更为严格。为每种类型的 API 设计 API 治理策略,以便设置适当的安全控制措施。此外,还要利用AI以应对新出现的**、异常行为以及试图利用或滥用API的恶意用户,从而减少安全团队的负担。
原则3:在整个开发周期内管控风险
API 安全测试并非一次性试验。在部署前、部署期间以及部署后进行测试都至关重要,这样才能在漏洞发生之前发现弱点和漏洞。F5公司的解决方案可自动为API创建并验证稳健的模式,通过可操作的洞察揭示API安全风险,利用AI/ML缓解复杂的API攻击等,赋予了客户随时随地保护任何应用和API的能力。
原则4:从后端到终端客户的层层保护
从外部客户端到内部、后端基础设施,架构的每部分都必须有各自的保护措施。内部API的安全更直接,可以与应用团队协调安全措施。对于外部API,可以从实时**情报和访问控制机制(例如加固的会话令牌)、建立正常和异常的流量模式基线以及限制API使用方面三方面入手进行保护。
原则5:拥有适当的策略和工具
作为整体安全架构的一部分,用户需要制定一项策略,部署全面的工具生态系统。作为应用和API安全领域的全球领导者,F5于5年前开始构建一套改变游戏规则的功能,作为F5分布式云服务的形式推向市场。F5正在将高级API代码测试和遥测分析引入F5分布式云服务,打造业内首个功能全面,且适合于AI的API安全解决方案。
原则6:将安全性纳入开发和部署流水线
由于技术、层、设计和所用API的上下文多样性,API安全可能变得十分复杂。安全需要在应用本身的同一连续生命周期中运行,这意味着 要与CI/CD流水线、服务预配和事件监控生态系统紧密集成。此外,屡试不爽的安全实践仍然适用——默认拒绝架构、强加密和最低权限访问。
https://www.f5.com.cn/company/blog/f5-is-shifting-left-to-protect-apis
回复
使用道具
举报
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表