審計師眼中的API安全與風險控制
責編:gltian |2024-04-03 17:45:43API(應用程序編程接口)是互聯網不可或缺的一部分。當我們訪問一個網站時,承載該網站的Web服務器會展示網頁。API正是那個使網站數據能夠為登錄所使用的客戶端(無論是臺式機、筆記本電腦還是移動設備)消化理解的工具。API作為服務器提供的程序,可以是處理Web流量同一程序的一部分,也可以是向客戶端提供數據的獨立程序。
API專為兩個軟件程序之間的交互而設計,而UI(用戶界面)則專為用戶直接與程序交互而設計。API呈現的是可供其他程序解析和操作的原始數據,而UI呈現的是人類用戶易于閱讀的數據。
API在此圖中被類比成餐廳里的服務員,他把訂單拿給廚師,收集點單的食物,然后帶著食物返回。
按預期受眾劃分的API類型
1. 公共API。也稱為外部或開放API,可被開發者和其他用戶公開使用,限制最小。
2. 合作伙伴API。它們不對外公開,由戰略業務合作伙伴提供,需要特定權限才能訪問。
3.內部API。也稱為私有API,對外部用戶隱藏,僅向內部系統和內部開發團隊公開。
4.復合API。復合API結合了多個數據或服務API。在微服務架構中非常有用,在這種架構中,需要從多個服務獲取信息以執行單一任務。
按協議劃分的API類型
1.REST。表現層狀態轉換(REST)架構非常流行,它依賴于客戶端/服務器方法來分隔API的前端和后端,并在開發和實施中提供了相當大的靈活性。REST是無狀態的,這意味著API在請求之間不存儲任何數據或狀態。
2.RPC。遠程過程調用協議(RPC)是一種簡單的方式,可以發送多個參數并接收結果。RPC API調用可執行的操作或進程,而REST API主要交換數據或資源,例如文檔。
3.SOAP。簡單對象訪問協議(SOAP)是由萬維網聯盟定義的消息傳遞標準,它支持廣泛的通信協議,常被用于創建使用基于XML數據結構的Web API。
API安全的背景
API安全位于以上三個領域的交叉點:
1.信息安全關注信息在其完整生命周期內從創建到最終銷毀的數據保護全過程。
2.?網絡安全涉及對網絡上數據流的保護以及防止未經授權的網絡訪問。
3.應用安全確保軟件系統設計和構建能夠抵御攻擊和濫用。
API安全風險控制
1. 所有權和管理。每個API應該有一個所有者或提供者,他們將通過合適的服務水平協議定義和發布使用條款,以限制API的使用和使用方式,并且可以根據定義和約定的SLA隨時調整API的實施。
2.根據公司政策設計API。應制定明確闡述API的政策,表明API應該是技術中立的,即不依賴于應用程序、編程語言和平臺。
3.隱私和安全。API的設計應確保消費者數據的隱私,并定期開展審計進行檢查。數據應實現端到端安全,并且應該與網絡無關,以數據為中心。
4.API治理。API應根據制定的數字戰略開發,并針對以下問題有明確的答案:
o 實現了哪些業務成果?
o 目標受眾是誰?
o API的愿景是什么,它是否已被社會化?
o 是否建立了API架構和組件的重用?
o 是否激活了API安全最佳實踐?
o 是否建立有效的API生命周期管理流程?
o API是否符合當前法律法規?
o 是否定期對API進行漏洞安全評估和滲透測試并及時修復??
5.審計控制
o 數據從源頭到目的地的傳輸是否受到監控,如果有故障,是否通知管理員,并記錄在審計報告中?
o 是否禁止匿名API?
o 是否在用于內部開發和培訓目的的API上部署了用戶身份和密碼?
o 是否使用API密鑰認證來保護應用程序的認證?
o 是否對所有B2B通信使用數字證書?
o 是否在內部和外部生產API上部署了OAuth2.0協議和安全令牌?