欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當前的位置是:  首頁 > 資訊 > 文章精選 >
 首頁 > 資訊 > 文章精選 >

保護云計算中API的重要性

2020-10-10 09:20:50   作者:   來源:CTI論壇   評論:0  點擊:


  CTI論壇(ctiforum.com)(編譯/老秦):隨著越來越多的公司將數(shù)字路線擴展到市場,開發(fā)人員開始傾向于使用易于使用和擴展的新云平臺,以比以往更快地交付新功能。結果,安全團隊現(xiàn)在面臨著管理和保護完全基于公共互聯(lián)網(wǎng)構建的這些基于服務的新應用程序體系結構的新挑戰(zhàn)。
 
  現(xiàn)在可以規(guī)避傳統(tǒng)方法,例如數(shù)據(jù)中心防火墻或Web應用程序防火墻(WAF),為領導者創(chuàng)建強制功能,以重新評估其整個安全程序。前進的重點必須圍繞應用程序層漏洞的核心。
  如今,公司需要進行更深入的檢查,以從安全評估人員的角度了解身份驗證,授權,可用性和加密是否正在按預期工作。這在受到嚴格監(jiān)管并存儲非常敏感數(shù)據(jù)的行業(yè)(例如醫(yī)療保健和金融)中至關重要。
  API是必不可少的
  沒有API,就不會有云計算,社交媒體或物聯(lián)網(wǎng)(IoT)。API在整個堆棧應用程序和整個Internet上傳輸數(shù)據(jù);它們是使數(shù)字化轉型和創(chuàng)新保持完整并不斷發(fā)展的粘合劑。
  根據(jù)Gartner關于其API策略成熟度模型的報告,網(wǎng)絡應用程序已經(jīng)看到40%的攻擊是通過API而不是用戶界面來進行的。同一位分析師還預測,到2021年,這個數(shù)字將增加到90%。由于API可以幫助擴展業(yè)務,簡化流程并簡化開發(fā)人員的生活,因此它們對于業(yè)務至關重要并且會繼續(xù)擴展。正如我們所看到的,他們的攻擊者和對組織造成嚴重破壞的機會也是如此。這是因為API也包含龐大且不斷擴展的攻擊面。
  API通常是數(shù)據(jù)泄露和泄漏數(shù)據(jù)的來源。有了所有這些微服務,大量的代碼就被丟到云或Web應用程序中,這使得清點清單,評估風險和保護大量API變得困難。API最終為黑客提供了一個寶藏地圖,可以幫助他們找到最易受攻擊的攻擊媒介進行數(shù)據(jù)竊取。
  保護所有這些API
  在實現(xiàn)API安全之前,我們需要問自己的最大問題是:“發(fā)現(xiàn)新的或更改的API或微服務的過程是什么?我們可以輕松地說我們知道我們所有API的位置嗎?在我們能找到的那些中,他們的安全態(tài)勢如何?”
  API發(fā)現(xiàn)可以改變有關公司應用程序安全方法的一切。這是可視化整個應用程序攻擊面的第一步。API不僅會不斷地添加到應用程序中,而且經(jīng)常會被第三方開發(fā)人員和開放源代碼庫使用。
  一流的安全策略和方法需要在應用程序堆棧的每一層都包括24/7全天候了解正在使用的每個API以及這些API正在處理的所有客戶端數(shù)據(jù)。例如,移動應用程序通常將包含12到18個第三方SDKs。這意味著將需要對本機代碼以及第三方開源和商業(yè)SDKs內的安全問題進行靜態(tài)和動態(tài)連續(xù)掃描的典型移動應用程序。
  由于可以從應用程序堆棧中的任何位置調用API來訪問數(shù)據(jù),從而使您的移動應用程序能夠充當多個用戶的單一載體,因此它們同時為存儲在整個堆棧中的敏感數(shù)據(jù)提供了單個入口點。大多數(shù)公司購買移動應用程序掃描儀或聘請顧問進行季度審核以發(fā)現(xiàn)漏洞。這還不足以跟蹤每日的API更改和漏洞,直到為時已晚。
  與移動應用程序相似,由于SPA架構的動態(tài)和實時呈現(xiàn)特性,傳統(tǒng)的Web應用程序掃描程序缺乏向單頁應用程序(SPA)中添加安全性見解的能力。他們不知道如何看到使這些新的Web應用程序體系結構在現(xiàn)代開發(fā)人員中如此流行的API數(shù)據(jù)傳輸層。
  一流的API安全性要求對移動和現(xiàn)代Web應用程序進行全面的安全性分析。數(shù)據(jù)通常先從Web或移動應用程序的客戶端層開始,然后再被帶到云中。保護敏感數(shù)據(jù)和保護用戶隱私是一項持續(xù)的工作,需要從移動設備到Web到后端云服務進行連續(xù)的漏洞分析。當今的攻擊者通常專注于利用客戶端層來劫持移動應用程序或SPA中殘留的用戶會話,嵌入式密碼以及有毒令牌。
  保護API還需要自動修復,該修復必須完全集成到CI / CD管道中。我并不是在談論將評估工具集成到CI / CD管道中,也不是報告發(fā)現(xiàn)的針對Jenkins,Bugzilla和Jira等系統(tǒng)的漏洞--這是評估工具的賭注。需要的是對CI / CD管道中的問題進行自動修復。如今,無需等待手動的漏洞驗證然后再進行補救,如今的API安全性需要自動修復,從而使開發(fā)人員不必花費時間來解決常見問題。
  先進的API安全性甚至可以使它更進一步,并提供自動化的漏洞黑客工具包,以進行預定的生產(chǎn)前評估。與上述顧問方案相似,雇用白帽黑客來管理預生產(chǎn)環(huán)境中的即時滲透測試。高級選項部署的工具包會執(zhí)行相同的黑客活動,但要連續(xù)進行。使用這種工具包不僅成本效益更高,而且還可以不間斷地查找和修復漏洞。
  API是必不可少的。它們都是關于連接和協(xié)作以共享信息的,但是需要注意確保敏感數(shù)據(jù)不會通過面向公眾的移動,Web和云應用程序在互聯(lián)網(wǎng)上裸露。
  聲明:版權所有 非合作媒體謝絕轉載
  作者:Felicia Haggarty
  原文網(wǎng)址:
  https://cloud-computing.tmcnet.com/breaking-news/articles/446756-importance-securing-API-cloud-computing.htm
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)