设为首页
收藏本站
切换到宽版
开启辅助访问
帐号
密码
登录
注册
忘记密码
搜索
搜索
热搜:
活动
交友
discuz
门户
Portal
论坛
BBS
群组
空间
相册
帮助
Help
【谣言、虚假信息举报入口】
城事
新闻
爆料
公益
汽车
美食
旅游
婚嫁
亲子
社区
论坛
博客
活动
美女
摄影
情感
理财
健身
房产
影音
消费
积分兑换
寻好东西
商家联盟
优惠打折
分类
企业招聘
个人求职
二手车辆
跳蚤市场
房屋租售
便民信息
本版
文章
帖子
用户
大邦论坛
»
论坛
›
大邦生活
›
数码
›
浅谈API生态建设:API安全策略的6项原则
城市大秀场
热门推荐:
社会聚焦
魅力女人
时尚前沿
家有儿女
健康生活
钟爱我车
几天洗一次澡最健康
四类饮料影响睡眠
姐弟恋萌呆了
今天抢红包了吗
恋爱受伤不愿意离开
春天,进补的好时节
最适合的体温计
返回列表
查看:
6404
|
回复:
0
浅谈API生态建设:API安全策略的6项原则
[复制链接]
hanniuniu12
hanniuniu12
当前离线
积分
158
8308
主题
8340
帖子
158
积分
认证VIP
积分
158
发消息
发表于 2024-6-28 16:35:12
|
显示全部楼层
|
阅读模式
API作为连接系统与应用的桥梁,在助力实现高效业务流程的同时,也不可避免出现资产管理困难、敏感数据泄漏风险骤增等安全问题。前段时间,安全公司Fastly公布了一项重磅调查报告,报告中显示95%的企业在过去1年中遭遇过API安全问题。本文分享API安全策略的6项原则,为企业API安全管理提参考建议。
原则1:了解API和端点
企业应当明确,如果API端点存在,它就可以被用作入侵途径。提供公共API还会让用户接收来自无数客户、合作伙伴和应用程序的查询。这也会使企业受到攻击。为了保护企业免受攻击,需要考虑一些风险控制措施。
原则2:在创新与安全之间找到平衡
根据您所在的行业,合规性标准会有所不同,有些要求相比其他行业而言,安全性需求更为严格。为每种类型的 API 设计 API 治理策略,以便设置适当的安全控制措施。此外,还要利用AI以应对新出现的**、异常行为以及试图利用或滥用API的恶意用户,从而减少安全团队的负担。
原则3:在整个开发周期内管控风险
API 安全测试并非一次性试验。在部署前、部署期间以及部署后进行测试都至关重要,这样才能在漏洞发生之前发现弱点和漏洞。F5公司的解决方案可自动为API创建并验证稳健的模式,通过可操作的洞察揭示API安全风险,利用AI/ML缓解复杂的API攻击等,赋予了客户随时随地保护任何应用和API的能力。
原则4:从后端到终端客户的层层保护
从外部客户端到内部、后端基础设施,架构的每部分都必须有各自的保护措施。内部API的安全更直接,可以与应用团队协调安全措施。对于外部API,可以从实时**情报和访问控制机制(例如加固的会话令牌)、建立正常和异常的流量模式基线以及限制API使用方面三方面入手进行保护。
原则5:拥有适当的策略和工具
作为整体安全架构的一部分,用户需要制定一项策略,部署全面的工具生态系统。作为应用和API安全领域的全球领导者,F5于5年前开始构建一套改变游戏规则的功能,作为F5分布式云服务的形式推向市场。F5正在将高级API代码测试和遥测分析引入F5分布式云服务,打造业内首个功能全面,且适合于AI的API安全解决方案。
原则6:将安全性纳入开发和部署流水线
由于技术、层、设计和所用API的上下文多样性,API安全可能变得十分复杂。安全需要在应用本身的同一连续生命周期中运行,这意味着 要与CI/CD流水线、服务预配和事件监控生态系统紧密集成。此外,屡试不爽的安全实践仍然适用——默认拒绝架构、强加密和最低权限访问。
https://www.f5.com.cn/company/blog/f5-is-shifting-left-to-protect-apis
回复
使用道具
举报
返回列表
发表回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表