api自动化_如何在不增加人员的情况下自动化API安全程序
api自動化
在這篇文章中,我們將撰寫一篇綜合文章,內容涉及如何在不增加人員的情況下自動執行API安全程序。 在現代世界中,數據對于提供者和消費者都至關重要。 數據科學的出現證明了這一事實。 對于某些組織,整個業務模型是建立在信息交換之上的。
讓我們以乘車共享公司為例。 通常,此類企業不擁有向客戶提供的車輛。 取而代之的是,公司擁有一個擁有車主和愿意駕駛的人的數據庫,一個將為乘車付費的乘客清單以及一個可通過API立即將騎手與駕駛員聯系起來的應用程序。 減價彌補了拼車業務的利潤。
API是不同類型企業之間發生的重要數據交換的核心。 因為數據總是有被盜的風險,所以安全性是API不可逾越的方面。
在深入研究如何在不增加人員的情況下自動化API安全程序之前,首先讓我們了解一下API是什么,為什么它們對組織如此重要以及其他一些基本知識。
1. API定義
應用程序編程接口或API表示一組通信協議,子例程定義和用于構建軟件的工具。 換句話說,API是一組明確定義的方法,這些方法使各種軟件組件之間的通信成為可能。
人們還讀: API的完整形式是什么?
1.1 API的重要性
API是企業交換以及通過數據和服務獲利的現代方式。 因為API允許機器對機器的數據檢索,所以訪問數據變得更快。
如今,幾乎每個流行的應用程序都帶有一個API,該API可以將其與其他應用程序和數據源集成。 一個典型的現代移動應用程序利用大約10到15個API來與應用程序之間傳輸有洞察力的數據。
除了移動應用程序外,單頁應用程序(即SPA)也嚴重依賴API。 API的效率和功能已導致組織通過API作為多層核心業務產品,將數據提供給第三方開發人員和其他人員。
1.2 API和安全性
盡管API具有巨大的實用性,但在保護它們以確保更快地交換數據而又不會給母公司或相關品牌帶來任何風險的情況下,仍是一個難以克服的難題。
安全團隊需要對API進行嚴格的安全檢查,以檢查潛在的漏洞和安全風險。 不夠安全的API可能會導致過去 ,現在和將來可能發生的嚴重數據泄露 。
Instagram,賽門鐵克和T-Mobile是少數幾個較大的公司之一,這些公司由于API的不安全導致數據泄露而遭受了巨大的損失。
API造成的損害可能是巨大的,原因是大多數API都設計為在沒有適當安全措施的情況下提供數據負載。
因此,對于依賴于多個應用程序的多個API的品牌和組織來設計和應用嚴格的API安全程序至關重要。 盡管這樣做是可行的,但這確實很棘手。 怎么樣? 以下部分說明完整情況。
1.3保護API –一個挑戰
標識所有API本身對確保相同性提出了巨大挑戰。 任何開發人員都可以在幾分鐘內創建一個API,然后使用公共云服務(例如AWS和Google Cloud)在互聯網上快速輕松地發布該API。
通常,會對API進行多次更改以改善產品。 對API所做的每次更改都可能帶來新的風險。
如今,越來越多的API建立在無服務器基礎架構上,類似于Amazon Lambda和Azure Functions。 傳統的防火墻和網關無法保護此類API。
當前,任何典型的大型組織都在使用數百或數千個API來滿足不同的需求。 這本身就對確保所有人的安全提出了巨大挑戰。 手動監督和加強每個安全性顯然不是一個可行的選擇。
解決此問題的唯一方法是使用自動化。 連續自動進行安全評估可為該問題提供切實可行的解決方案。
1.4自動化是解決方案!
通常,安全團隊工作過度,人員短缺。 雇用熟練的安全專家并不像看起來那樣容易。
因此,增加更多的安全人員來構建和執行API安全程序不是一個可行的選擇。 將顧問帶到現場可以作為替代方案,但是,這可能會拉長整體預算。 因此,可行的選擇是選擇自動化。
自動化可以節省設計和執行API安全程序的時間和精力。 自動化程序可在重復但重要的任務中保持一致性,例如分析和記錄使用中的API并執行公司策略以控制風險。
1.5在不增加人員的情況下自動執行API安全程序
創建或什至使用API??的任何組織都需要API安全框架。 自動化API安全程序包括三個步驟:
連續的API發現和規范創建
此步驟僅意味著了解當前正在使用哪些API,以及它們需要完成哪些具體操作。 為了定義API的作用,收集API規范是關鍵。 但是,存在一些沒有任何規范的API。
因此,自動化的API安全程序需要具有一項服務,該服務可以為那些沒有任何API的規范創建規范。 規范創建服務還需要持續監視以及發現未注冊的新API。
通常,開發人員最初會記錄其API。 但是,每當對API進行更改時都更新文檔不是一種普遍做法。 因此,需要一種自動工具來收集此類信息并相應地更新API規范。
針對安全威脅的連續API規范分析和檢查/分析API
下一步是每次API操作更改時執行安全檢查。 以下問題需要回答:
- API是否具有正確的數據加密?
- API是否具有正確的身份驗證?
- API被授權訪問哪些數據源?
- API的可用性級別如何?
- 哪種授權策略適用于API?
為了避免API數據泄露,API安全團隊必須了解屬于組織或品牌的每個API的當前安全狀態,這一點很重要。
手動API分析僅限于少數API。 對于成千上萬的API,連續自動API分析是首選。 值得慶幸的是,有可用的自動化工具可以檢查API中的潛在漏洞。
更好的自動化工具還能夠生成安全任務以及建議的更改,以供開發人員解決所有API安全問題。 此類工具還可在遇到違反其規范的API功能操作時發出常規警報。
API政策啟用與執行
最后一步是創建和實施安全策略。 API安全程序有一個非常重要的部分,需要手動干預。 這是政策的制定。 只有到那時,自動化才能用于執行安全策略。
為了構成API安全策略的基礎,需要回答兩個問題:
傳統上,有關身份驗證,可用性和加密的API策略實施是在網絡網關層進行的。 但是,由于現代應用程序依賴于移動系統和云服務,因此這種方法的實用性和可伸縮性有所降低。
應用程序開發人員通常會利用通過SDK或云服務提供的身份驗證,可用性和加密區域。 對于此類情況,建議使用能夠與這些服務集成的自動化服務來執行API安全策略。
2.自動化API安全程序–結論
總結了不增加人員就自動執行API安全程序的過程。 現在,您可以開始保護所有API。
API對于任何現代應用程序都是至關重要的。 DevOps員工喜歡他們,一旦安全團隊能夠構建和自動化功能強大的API安全程序,他們也可以學習了解其價值。
- 尋找數據科學面試問題嗎? 在這里查看。
- 想學習數據科學嗎? 查看這些最佳數據科學教程 。
翻譯自: https://www.javacodegeeks.com/2019/07/automate-api-security-program-without-adding-staff.html
api自動化
總結
以上是生活随笔為你收集整理的api自动化_如何在不增加人员的情况下自动化API安全程序的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 233网校有电脑版吗(233网校软件下载
- 下一篇: ibm liberty_使用Open L