设为首页
收藏本站
收藏
任务
排行
道具
勋章
官方Q群
群号:814298516
简介:为国内Facebook开发者提供的交流群,以Facebook instant game为重点,涵盖其他Facebook开发、推广和运营交流
综合讨论区
新手专区
技术讨论区
设置与配置区
运营推广区
游戏\应用展示
源码与资源专区
VR游戏\应用
论坛
BBS
搜索
搜索
热搜:
活动
交友
discuz
Hi~
登录
或
注册
本版
帖子
用户
Facebook开发者社区
»
论坛
›
技术讨论区
›
技术讨论
›
浅谈API生态建设:API安全策略的6项原则
返回列表
发新帖
查看:
94
|
回复:
0
浅谈API生态建设:API安全策略的6项原则
[复制链接]
hanniuniu12
hanniuniu12
当前离线
积分
1504
333
主题
333
帖子
1504
积分
金牌会员
金牌会员, 积分 1504, 距离下一级还需 1496 积分
金牌会员, 积分 1504, 距离下一级还需 1496 积分
积分
1504
发消息
电梯直达
楼主
发表于 2024-6-28 16:33:37
|
只看该作者
|
倒序浏览
|
阅读模式
API作为连接系统与应用的桥梁,在助力实现高效业务流程的同时,也不可避免出现资产管理困难、敏感数据泄漏风险骤增等安全问题。前段时间,安全公司Fastly公布了一项重磅调查报告,报告中显示95%的企业在过去1年中遭遇过API安全问题。本文分享API安全策略的6项原则,为企业API安全管理提参考建议。
原则1:了解API和端点
企业应当明确,如果API端点存在,它就可以被用作入侵途径。提供公共API还会让用户接收来自无数客户、合作伙伴和应用程序的查询。这也会使企业受到攻击。为了保护企业免受攻击,需要考虑一些风险控制措施。
原则2:在创新与安全之间找到平衡
根据您所在的行业,合规性标准会有所不同,有些要求相比其他行业而言,安全性需求更为严格。为每种类型的 API 设计 API 治理策略,以便设置适当的安全控制措施。此外,还要利用AI以应对新出现的威胁、异常行为以及试图利用或滥用API的恶意用户,从而减少安全团队的负担。
原则3:在整个开发周期内管控风险
API 安全测试并非一次性试验。在部署前、部署期间以及部署后进行测试都至关重要,这样才能在漏洞发生之前发现弱点和漏洞。F5公司的解决方案可自动为API创建并验证稳健的模式,通过可操作的洞察揭示API安全风险,利用AI/ML缓解复杂的API攻击等,赋予了客户随时随地保护任何应用和API的能力。
原则4:从后端到终端客户的层层保护
从外部客户端到内部、后端基础设施,架构的每部分都必须有各自的保护措施。内部API的安全更直接,可以与应用团队协调安全措施。对于外部API,可以从实时威胁情报和访问控制机制(例如加固的会话令牌)、建立正常和异常的流量模式基线以及限制API使用方面三方面入手进行保护。
原则5:拥有适当的策略和工具
作为整体安全架构的一部分,用户需要制定一项策略,部署全面的工具生态系统。作为应用和API安全领域的全球领导者,F5于5年前开始构建一套改变游戏规则的功能,作为F5分布式云服务的形式推向市场。F5正在将高级API代码测试和遥测分析引入F5分布式云服务,打造业内首个功能全面,且适合于AI的API安全解决方案。
原则6:将安全性纳入开发和部署流水线
由于技术、层、设计和所用API的上下文多样性,API安全可能变得十分复杂。安全需要在应用本身的同一连续生命周期中运行,这意味着 要与CI/CD流水线、服务预配和事件监控生态系统紧密集成。此外,屡试不爽的安全实践仍然适用——默认拒绝架构、强加密和最低权限访问。
https://www.f5.com.cn/company/bl ... eft-to-protect-apis
收藏
0
回复
使用道具
举报
返回列表
发新帖
游客
回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
发表回复
快速回复
返回顶部
返回列表