奥冠胶体蓄电池6-GFMJ-65 12V65AH系列说明
总部位于圣马特奥的网络安全机构PerimeterX公司联合创始人兼首席技术官IdoSafruti表示,当人们使用API来验证信用卡且访问权限未得到适当锁定时,还会发生另一种常见的API滥用。他说:“我可以直接采用API并尝试验证被盗的信用卡或者礼品卡,这更容易,因为不需要用户的姓名或邮政编码。”
他补充说,“这种第三方API的使用非常难以锁定。作为数据中心运营商,如果其应用程序在数据中心之外调用API,那么可能对此完全一无所知。”
从后台到前台
在以往,企业的应用程序在内部网络内相互通信,可以安全地隐藏在防火墙后面。应该说,这意味着访问和身份验证问题对开发人员的压力并不大。实施大量安全检查会很麻烦,会减慢开发速度并干扰功能。如今,在混合数据中心和万物实现云化的情况下,但API并没有企业的防火墙防护,但是开发人员经常忘记这一事实,并意外地将其公开。
BTBSecurity公司顾问HumbertoGauna说,“保护API并不难。但这需要一定的资源,将会增加公司的成本。”他建议,在构建新的API时,企业应让安全人员参与早期阶段。
通常情况下,数据中心安全管理人员对开发人员如何编写其API并没有什么要求。但它们可以确保内部数据库和服务器得到适当的保护,并确保基于云计算的服务得到适当的配置。他们还可以为内部部署环境和云计算部署设置API网关。
API网关的优缺点
并非所有专家都认为API网关是一个好主意。
当企业通过一个或多个API网关汇集所有API流量时,它们可以确保基本的安全策略(如加密、身份验证和访问控制)得到充分实施。网关还可以执行其他操作,如负载均衡和DDoS保护。
可以为内部部署数据中心设置API网关,大多数主要的云计算提供商都将它们作为基础设施上托管的系统的服务来提供。Cybereason公司的Barak说,该过程从创建数据中心公开的所有API的目录开始。他说,“这是一个良好的安全平台的核心组成部分,但很多人没有采用它。使目录保持新是很困难的,特别是当开发新的微服务并在几天甚至几小时内推出时。”
接下来,企业必须使用自己的令牌(例如API密钥或OpenID标识符)来标识每个API,并根据这些令牌控制对数据和服务的访问。Barak说,“没有授权令牌,企业的开发人员不能公开新的API,而是必须注册该API。”
后,数据中心可以为API流量设置网关。他说,通过实施包括加密和签名的安全通道,数据中心可以对API安全性产生巨大影响。
但是一些专家说,要让企业的所有开发人员都参与进来可能很困难。
总部位于圣何塞的安全厂商MalwarebytesLabs的主管AdamKujawa说,“这将是一个理想的选择。但是数据中心运营商不能强迫他们的客户这样做。但是,它可以做的是向其客户或企业用户提供API网关作为服务。如果他们不使用该服务,需要确保将它们隔离开来,以免感染数据中心的其他部分。”
另一个挑战是,API网关不能总是部署到所有平台上,并且提供商之间存在差异,这给管理带来了挑战。
此外,API网关可能是单点故障,并增加了复杂性和管理开销。总部位于帕洛阿尔托的应用程序安全供应商数据定理的首席运营官DougDooley说,“我们的客户正在构建微服务,其中一种应用程序具有难以置信的规模,并已在全球数十个数据中心中部署,有不同离散形式的代码,它们都通过API进行通信,企业中有成千上万个API。”
他说,“在这种情况下,试图通过API网关强制执行所有操作都是没有意义的。它不具有可扩展性或成本效益,绕过这个瓶颈很简单。”
FireMon公司技术联盟副总裁TimWoods提出了一种API安全的分布式方法。这种方法可能更加动态和灵活。对于边缘计算应用程序来说,速度也更快。他说:“每当企业必须到中央清算仓库或中央网关时,都必须担心延迟。”
Barracuda网络公司应用程序安全产品管理副总裁NitzanMiron表示,企业在寻找基础设施中所有活动的API时也遇到了问题。当基础设施包括公共云时尤其如此。他说,“传统的网络资源清册(扫描IP范围)在IP都由公共云提供商甚至多个提供商动态分配的情况下是毫无价值的。”
但是他补充说,API网关工具已经日趋成熟,并且近开始添加功能来正确审核和控制API访问。他说:“随着这些工具的成熟和易于使用,找到合适的工具并安装在所有公司的API和应用程序上而不会造成业务中断的挑战将会越来越小。”