隨著計算技術的不斷發展,我們生活在一個可以控制大多數事物的世界。我們能夠使用手機等計算設備或任何其他智能設備輕松滿足我們大部分的日常需求。隨著計算技術的發展,如今的科學家和工程師已經建立了具有更高智商的人工智能模型。
所有這些背后,都是多個系統為實現共同目標而進行通信的結果。這就是 API 發揮作用的地方。API 幫助系統與外部系統進行通信,使其他系統可以訪問其功能。如今,API 幾乎無處不在,使整個世界得以連接,一切都緊密相連。
另一方面,隨著 API 的大量使用,我們面臨著黑客不當或無意使用 API 的巨大威脅。此外,如果 API 未正確實施、配置或使用,則數據可能會丟失或被他人竊取。這就是我們需要 API 安全最佳實踐的地方,以使它們穩定并避免易受攻擊的使用。
當我們談論實現 API 階段必須注意的一些事實。
在本文中,我們將研究以下類別下的一些安全最佳實踐,我們在構建 API 時可以關注這些實踐。
現在讓我們仔細看看上面提到的每件事,以便更好地理解以及為什么我們需要關心這些。
API 是外部用戶訪問系統內置功能的接口。因此,如果我們沒有正確設計和實施 API,未經授權的人員就有可能獲得訪問權限并操縱我們系統中可用的業務功能。因此,未能防范此類事件將直接對我們造成以下一種或多種影響。
除了上述影響之外,還有很多不利影響可能會對我們的業務和社會關系產生影響。這就是為什么我們需要對 API 進行適當的設計和實施。
API 開發人員應始終盡可能遵循通用 API 標準和最佳實踐。遵循標準、最佳實踐和框架將有助于我們簡化 API 實施,同時減少 API 中出現此類安全漏洞的可能性。因此,我們的目的是提供一些開發最佳實踐來減少此類事件。有很多標準、最佳實踐和框架可用于這些,我們將在這里討論一些關鍵問題或實踐。
選擇正確的 HTTP 方法
處理 API 時,我們需要確定 API 的范圍以及要處理的數據類型。基本上,當我們需要發送一些敏感數據時,使用 POST 使用 REST API 標準,根據需求的性質定義了一組 HTTP 方法。其中一些 HTTP 方法是 GET、POST、PUT、PATCH 和 DELETE。
輸入驗證
驗證輸入至關重要,因為我們不能總是期望只獲得預期的數據。API 總是有可能從合法和非法用戶那里收到意外的數據輸入。因此,API 開發人員有責任過濾掉這些不正確的數據并僅對有效數據做出反應。在輸入驗證下,我們將討論一些事情以及我們可以做些什么來改進它們。
輸出驗證
術語“輸出驗證”是指控制和處理作為 API 調用響應發送的數據的過程。通常,數據庫可能存儲了一些敏感信息以及其他信息。例如,我們保存了身份驗證相關信息、交易相關信息,如果將這些信息暴露給外部,則可能存在風險。因此,我們需要采取適當的措施來防止將這些數據發送給消費者,或者至少更改內容以避免潛在風險。在這里,我們將討論其中的一些內容,以便對要求有一個大致的了解。
身份驗證和授權
如果您正在構建 API,我們的主要考慮因素之一就是控制對 API 的訪問。控制對 API 的訪問的一種方法是通過身份驗證和授權。此過程基本上控制了對 API 的未經授權的訪問,并提高了受保護信息的保證。
API 開發完成后,關注部署相關的安全最佳實踐也同樣重要。在這里我們將討論一些可以采取的措施或方法,以減少 API 可能面臨的潛在安全問題。
使用 HTTPS/TLS
通常,通過 HTTP 協議使用 API 并不安全。但如果我們使用 HTTPS,我們將對通信進行端到端加密。因此,我們對數據和資源更有信心,因為它們以加密方式安全地通過網絡傳輸。此外,使用 HTTPS 可以防止中間人攻擊。其他主要優點包括數據完整性、用戶信任/信心、防止會話劫持和代碼注入攻擊等等。
CI/CD 流水線
CI/CD 自動化有助于間接提高 API 的安全性。當我們設置 CI/CD 流程時,我們還可以設置其他作業與自動構建和部署流程一起運行。例如,可以在 CI 管道中執行靜態代碼分析、依賴項掃描、單元測試、自動安全測試、安全代碼審查、安全襯墊。
防火墻的使用
防火墻在 API 請求。這有助于根據 IP 地址、身份驗證令牌或其他標準實施訪問控制策略。
速率限制
應用程序網關防火墻的另一大優勢是速率限制。API 速率限制是一種機制,用于控制客戶端或用戶在指定時間范圍內對 API 發出的請求數量。速率限制的主要目標是防止濫用、防止拒絕服務 (DoS) 攻擊以及確保公平使用 API 資源。通過對 API 施加速率限制,API 提供商可以管理服務器負載、維護服務器可用性并防止不可預測的高需求。我們可以使用不同的速率限制算法來實現這一點。兩種最流行的速率限制算法是令牌桶和漏桶。為了向消費者指示過載請求,我們可以使用不同的方法。我們主要可以使用響應代碼 429 和速率限制標頭來向消費者傳達狀態。
服務器可訪問性
當我們將 API 部署到服務器或服務器集群時,我們必須確保只公開最低要求。例如,如果我們有一個帶有數據庫服務器的 API 服務器,我們可以禁用對數據庫服務器的公共訪問。此外,我們可以禁用 API 服務器的默認 SSH 端口訪問,并使用自定義 SSH 端口。我們可以僅通過使用自定義 SSH 端口的跳轉/堡壘服務器允許訪問 API 服務器。這只是一個例子。遵循可用的標準、最佳實踐、框架和指南將幫助我們保護服務器免受此類意外訪問,并順利為我們的消費者提供服務。
監控
監控在 API 安全方面發揮著重要作用。有效的監控有助于 API 提供商檢測和應對安全事件,并確保 API 的可用性和性能。此外,監控還能提供有關潛在威脅和漏洞的見解。API 安全最佳實踐中監控的關鍵方面包括日志記錄和審計、實時流量分析、速率限制監控、資源使用情況、性能監控等等。通過這種方式,我們可以對部署進行大量調整和調優,使 API 高度安全并持續供消費者使用。
測試是任何軟件開發過程中的主要要求,因為它為我們將產品推向生產級提供了許多優勢。API測試的一些優點包括:
有不同類型的測試方法可用于實現不同的目標。但我們將介紹其中的一些。但最好進行更多測試以確保產品達到所需的期望。
單元測試
API 開發人員應該為每個 API 實施足夠數量的單元測試,以確保 API 正常運行。通常,我們實施單元測試來驗證業務需求的不同場景,以確保產品按預期運行。我們可以將單元測試與 CI 流程集成,以確保它們在集成新更改之前運行。這將確保我們沒有任何易破壞的更改。
集成測試
集成測試涉及測試不同組件或系統之間的交互。對于 API,這意味著驗證不同的 API 端點是否按預期協同工作以及數據是否正確交換。
負載測試
負載測試評估 API 在特定負載或流量下的表現。它有助于識別性能瓶頸、響應時間和整體系統可擴展性。
壓力測試
壓力測試涉及在極端條件下(例如高流量)測試 API,以確定其在壓力下的穩定性和行為。這種類型的測試有助于識別 API 的斷點和潛在的故障模式。這些測試特別有助于我們了解針對 DoS 和 DDoS 攻擊的證明。
安全測試
安全測試側重于識別漏洞并確保 API 能夠抵御安全威脅。這包括對常見安全問題(如注入攻擊、身份驗證和授權問題以及數據暴露風險)的測試。除了上述測試之外,我們還需要進行不同類型的測試,以確保 API 滿足我們的業務需求。其中一些測試方法是回歸測試、端到端測試、冒煙測試、自動化測試。
如今,我們有不同類型的軟件開發方法。其中之一是 API 設計優先方法。API 設計優先有助于在開始其他實現之前先定義 API 契約。這將幫助利益相關者提前定義 API 要求(包括安全要求)。這將導致根據利益相關者的協議定義強大的 API 契約。然后,各方的開發團隊可以根據定義的 API 契約獨立開始其功能的工作。
定義 API 契約并編寫 API 文檔有很多好處。API 提供者和 API 使用者都可以從使用 API 契約和文檔中獲益
API 文檔可以通過多種方式完成。最流行和標準的方式是使用開放 API 規范定義 HTTP API。開放 API 規范被廣泛認可為 HTTP API 的 API 文檔標準。開放 API 規范能夠以正確組織的方式定義我們的 API 端點。它還允許我們定義服務器、安全方案、可重用組件等等。已經開發了不同的工具來使用開放 API 規范進行此類 API 文檔編制。
由于 API 是與不同類型的系統和受眾進行溝通的最常見橋梁,因此 API 提供商有責任使用標準 API 設計 API。如今,安全性是 API 的主要關注點,因為隨著 API 的大量使用,我們面臨的反擊也成比例或指數級增加。因此,在設計、開發、部署和測試 API 時始終需要遵循安全最佳實踐,以最大限度地減少可能受到的影響。更好的 API 契約設計將為您節省大量問題,同時為您帶來很多優勢。最好使用標準方式來設計滿足您的 API 需求的 API 契約。開放 API 規范是一項非常棒的標準,大多數開發人員都遵循它來設計基于 HTTP 的 API。在設計中使用開放 API 規范標準支持的工具總是更好的選擇,因為它提供的不僅僅是 API 設計。
文章來源:API Security Best Practices