Soru: Kuruluşlar, artan API tabanlı saldırılar karşısında API’lerinin tehlikeye karşı dayanıklı olduğundan nasıl emin olabilir?
Gravitee’nin kurucusu ve CEO’su Rory Blundell: Her ölçekteki ve tüm sektörlerdeki işletmeler, iş kolu uygulamalarını birleştirmek için dahili API’lere ve satıcılar, müşteriler veya iş ortakları ile veri veya hizmetleri paylaşmak için harici API’lere rutin olarak güvenir. Tek bir API’nin birden çok uygulamaya veya hizmete erişimi olabileceğinden, API’den ödün vermek, çok çeşitli iş varlıklarını en az çabayla tehlikeye atmanın kolay bir yoludur.
API’ler popüler bir saldırı vektörü haline geldi ve API saldırılarının sıklığı şaşırtıcı bir şekilde arttı. %681yakın zamana göre Salt Labs’tan araştırma. API’lerinizi güvence altına almanın ilk adımı, OWASP tarafından sağlananlar gibi en iyi uygulamaları takip etmektir. yaygın API güvenlik risklerine karşı koruma önerir.
Ancak, temel API güvenlik uygulamaları, BT kaynaklarını güvende tutmak için yeterli değildir. İşletmeler, API’lerini korumak için aşağıdaki ek adımları atmalıdır.
1. Riske Dayalı Kimlik Doğrulamayı Benimseyin
İşletmeler, artan risk durumlarında güvenlik korumalarının uygulanmasına izin veren risk tabanlı kimlik doğrulama ilkelerini benimsemelidir. Örneğin, öngörülebilir bir modeli izleyen meşru istekler yayınlama konusunda uzun bir sicile sahip bir API istemcisinin, daha önce hiç bağlanmamış yeni bir istemciyle aynı düzeyde kimlik doğrulamasından geçmesi gerekmeyebilir. Ancak, uzun süreli API istemcisinin erişim düzeni değişirse (örneğin, istemci aniden farklı bir IP adresinden istek göndermeye başlarsa) daha sıkı kimlik doğrulaması gerektirmek, isteklerin güvenliği ihlal edilmiş bir istemciden gelmemesini sağlamanın akıllı bir yolu olacaktır.
2. Biyometrik Kimlik Doğrulama Ekleyin
Belirteçler, müşterilerin ve isteklerin kimliğini doğrulamanın temel bir yolu olarak önemli olmaya devam etse de çalınabilirler. Bu nedenle, belirteç tabanlı kimlik doğrulamayı biyometrik kimlik doğrulama ile birleştirmek, API güvenliğini artırmanın akıllı bir yoludur. Geliştiriciler, bir API belirtecine sahip olan herkesin geçerli bir kullanıcı olduğunu varsaymak yerine, uygulamaları, kullanıcıların en azından yüksek riskli bağlamlarda parmak izi, yüz tarama veya benzer bir yöntemle kimlik doğrulaması yapacak şekilde tasarlamalıdır.
3. Kimlik Doğrulamayı Harici Olarak Zorlayın
API kimlik doğrulama şemalarınız ne kadar karmaşık hale gelirse, güvenlik gereksinimlerini uygulamanızın kendisinde uygulamak o kadar zorlaşır. Bu nedenle geliştiriciler, API güvenlik kurallarını uygulama mantığından ayırmaya çalışmalı ve bunun yerine güvenlik gereksinimlerini uygulamak için API ağ geçitleri gibi harici araçlar kullanmalıdır. Bu yaklaşım, API güvenlik ilkelerini daha ölçeklenebilir ve esnek hale getirir çünkü bunlar, uygulama kaynak kodu yerine API ağ geçitleri içinde kolayca uygulanıp güncellenebilir. Ve en önemlisi, değişen risk profillerine göre farklı kullanıcılara veya isteklere farklı kurallar uygulamanıza olanak tanır.
4. Kullanılabilirlikle API Güvenliğini Dengeleyin
Güvenliğin kullanılabilirliğin düşmanı olmasına izin vermemek önemlidir. API kimlik doğrulama önlemlerini çok müdahaleci veya külfetli hale getirirseniz, kullanıcılarınız API’lerinizi terk edebilir ki bu da olmasını istediğiniz şeyin tam tersidir. Gerektiğinde API güvenlik kurallarının katı olmasını sağlayarak, ancak gereksiz gereksinimler getirmeden bundan kaçının.
API’leri hedef alan saldırılar yavaşlama belirtisi göstermiyor. Geliştiriciler, API’leri tasarlarken ve güvenliğini sağlarken, API’den yararlanmayı zorlaştırmak için OWASP tavsiyelerinin ötesine geçmelidir.
