api自動(dòng)化

在這篇文章中，我們將撰寫一篇綜合文章，內(nèi)容涉及如何在不增加人員的情況下自動(dòng)執(zhí)行API安全程序。 在現(xiàn)代世界中，數(shù)據(jù)對(duì)于提供者和消費(fèi)者都至關(guān)重要。 數(shù)據(jù)科學(xué)的出現(xiàn)證明了這一事實(shí)。 對(duì)于某些組織，整個(gè)業(yè)務(wù)模型是建立在信息交換之上的。

讓我們以乘車共享公司為例。 通常，此類企業(yè)不擁有向客戶提供的車輛。 取而代之的是，公司擁有一個(gè)擁有車主和愿意駕駛的人的數(shù)據(jù)庫，一個(gè)將為乘車付費(fèi)的乘客清單以及一個(gè)可通過API立即將騎手與駕駛員聯(lián)系起來的應(yīng)用程序。 減價(jià)彌補(bǔ)了拼車業(yè)務(wù)的利潤。

API是不同類型企業(yè)之間發(fā)生的重要數(shù)據(jù)交換的核心。 因?yàn)閿?shù)據(jù)總是有被盜的風(fēng)險(xiǎn)，所以安全性是API不可逾越的方面。

在深入研究如何在不增加人員的情況下自動(dòng)化API安全程序之前，首先讓我們了解一下API是什么，為什么它們對(duì)組織如此重要以及其他一些基本知識(shí)。

1. API定義

應(yīng)用程序編程接口或API表示一組通信協(xié)議，子例程定義和用于構(gòu)建軟件的工具。 換句話說，API是一組明確定義的方法，這些方法使各種軟件組件之間的通信成為可能。

人們還讀： API的完整形式是什么？

1.1 API的重要性

API是企業(yè)交換以及通過數(shù)據(jù)和服務(wù)獲利的現(xiàn)代方式。 因?yàn)锳PI允許機(jī)器對(duì)機(jī)器的數(shù)據(jù)檢索，所以訪問數(shù)據(jù)變得更快。

如今，幾乎每個(gè)流行的應(yīng)用程序都帶有一個(gè)API，該API可以將其與其他應(yīng)用程序和數(shù)據(jù)源集成。 一個(gè)典型的現(xiàn)代移動(dòng)應(yīng)用程序利用大約10到15個(gè)API來與應(yīng)用程序之間傳輸有洞察力的數(shù)據(jù)。

除了移動(dòng)應(yīng)用程序外，單頁應(yīng)用程序（即SPA）也嚴(yán)重依賴API。 API的效率和功能已導(dǎo)致組織通過API作為多層核心業(yè)務(wù)產(chǎn)品，將數(shù)據(jù)提供給第三方開發(fā)人員和其他人員。

1.2 API和安全性

盡管API具有巨大的實(shí)用性，但在保護(hù)它們以確保更快地交換數(shù)據(jù)而又不會(huì)給母公司或相關(guān)品牌帶來任何風(fēng)險(xiǎn)的情況下，仍是一個(gè)難以克服的難題。

安全團(tuán)隊(duì)需要對(duì)API進(jìn)行嚴(yán)格的安全檢查，以檢查潛在的漏洞和安全風(fēng)險(xiǎn)。 不夠安全的API可能會(huì)導(dǎo)致過去 ，現(xiàn)在和將來可能發(fā)生的嚴(yán)重?cái)?shù)據(jù)泄露 。

Instagram，賽門鐵克和T-Mobile是少數(shù)幾個(gè)較大的公司之一，這些公司由于API的不安全導(dǎo)致數(shù)據(jù)泄露而遭受了巨大的損失。

API造成的損害可能是巨大的，原因是大多數(shù)API都設(shè)計(jì)為在沒有適當(dāng)安全措施的情況下提供數(shù)據(jù)負(fù)載。

因此，對(duì)于依賴于多個(gè)應(yīng)用程序的多個(gè)API的品牌和組織來設(shè)計(jì)和應(yīng)用嚴(yán)格的API安全程序至關(guān)重要。 盡管這樣做是可行的，但這確實(shí)很棘手。 怎么樣？ 以下部分說明完整情況。

1.3保護(hù)API –一個(gè)挑戰(zhàn)

標(biāo)識(shí)所有API本身對(duì)確保相同性提出了巨大挑戰(zhàn)。 任何開發(fā)人員都可以在幾分鐘內(nèi)創(chuàng)建一個(gè)API，然后使用公共云服務(wù)（例如AWS和Google Cloud）在互聯(lián)網(wǎng)上快速輕松地發(fā)布該API。

通常，會(huì)對(duì)API進(jìn)行多次更改以改善產(chǎn)品。 對(duì)API所做的每次更改都可能帶來新的風(fēng)險(xiǎn)。

如今，越來越多的API建立在無服務(wù)器基礎(chǔ)架構(gòu)上，類似于Amazon Lambda和Azure Functions。 傳統(tǒng)的防火墻和網(wǎng)關(guān)無法保護(hù)此類API。

當(dāng)前，任何典型的大型組織都在使用數(shù)百或數(shù)千個(gè)API來滿足不同的需求。 這本身就對(duì)確保所有人的安全提出了巨大挑戰(zhàn)。 手動(dòng)監(jiān)督和加強(qiáng)每個(gè)安全性顯然不是一個(gè)可行的選擇。

解決此問題的唯一方法是使用自動(dòng)化。 連續(xù)自動(dòng)進(jìn)行安全評(píng)估可為該問題提供切實(shí)可行的解決方案。

1.4自動(dòng)化是解決方案！

通常，安全團(tuán)隊(duì)工作過度，人員短缺。 雇用熟練的安全專家并不像看起來那樣容易。

因此，增加更多的安全人員來構(gòu)建和執(zhí)行API安全程序不是一個(gè)可行的選擇。 將顧問帶到現(xiàn)場可以作為替代方案，但是，這可能會(huì)拉長整體預(yù)算。 因此，可行的選擇是選擇自動(dòng)化。

自動(dòng)化可以節(jié)省設(shè)計(jì)和執(zhí)行API安全程序的時(shí)間和精力。 自動(dòng)化程序可在重復(fù)但重要的任務(wù)中保持一致性，例如分析和記錄使用中的API并執(zhí)行公司策略以控制風(fēng)險(xiǎn)。

1.5在不增加人員的情況下自動(dòng)執(zhí)行API安全程序

創(chuàng)建或什至使用API??的任何組織都需要API安全框架。 自動(dòng)化API安全程序包括三個(gè)步驟：

持續(xù)的API發(fā)現(xiàn)和規(guī)范創(chuàng)建

持續(xù)的API規(guī)范分析和檢查

API政策啟用與執(zhí)行

連續(xù)的API發(fā)現(xiàn)和規(guī)范創(chuàng)建

此步驟僅意味著了解當(dāng)前正在使用哪些API，以及它們需要完成哪些具體操作。 為了定義API的作用，收集API規(guī)范是關(guān)鍵。 但是，存在一些沒有任何規(guī)范的API。

因此，自動(dòng)化的API安全程序需要具有一項(xiàng)服務(wù)，該服務(wù)可以為那些沒有任何API的規(guī)范創(chuàng)建規(guī)范。 規(guī)范創(chuàng)建服務(wù)還需要持續(xù)監(jiān)視以及發(fā)現(xiàn)未注冊(cè)的新API。

通常，開發(fā)人員最初會(huì)記錄其API。 但是，每當(dāng)對(duì)API進(jìn)行更改時(shí)都更新文檔不是一種普遍做法。 因此，需要一種自動(dòng)工具來收集此類信息并相應(yīng)地更新API規(guī)范。

針對(duì)安全威脅的連續(xù)API規(guī)范分析和檢查/分析API

下一步是每次API操作更改時(shí)執(zhí)行安全檢查。 以下問題需要回答：

• API是否具有正確的數(shù)據(jù)加密？
• API是否具有正確的身份驗(yàn)證？
• API被授權(quán)訪問哪些數(shù)據(jù)源？
• API的可用性級(jí)別如何？
• 哪種授權(quán)策略適用于API？

為了避免API數(shù)據(jù)泄露，API安全團(tuán)隊(duì)必須了解屬于組織或品牌的每個(gè)API的當(dāng)前安全狀態(tài)，這一點(diǎn)很重要。

手動(dòng)API分析僅限于少數(shù)API。 對(duì)于成千上萬的API，連續(xù)自動(dòng)API分析是首選。 值得慶幸的是，有可用的自動(dòng)化工具可以檢查API中的潛在漏洞。

更好的自動(dòng)化工具還能夠生成安全任務(wù)以及建議的更改，以供開發(fā)人員解決所有API安全問題。 此類工具還可在遇到違反其規(guī)范的API功能操作時(shí)發(fā)出常規(guī)警報(bào)。

API政策啟用與執(zhí)行

最后一步是創(chuàng)建和實(shí)施安全策略。 API安全程序有一個(gè)非常重要的部分，需要手動(dòng)干預(yù)。 這是政策的制定。 只有到那時(shí)，自動(dòng)化才能用于執(zhí)行安全策略。

為了構(gòu)成API安全策略的基礎(chǔ)，需要回答兩個(gè)問題：

誰將能夠使用該API？

API有什么級(jí)別的敏感性和監(jiān)管監(jiān)督？

傳統(tǒng)上，有關(guān)身份驗(yàn)證，可用性和加密的API策略實(shí)施是在網(wǎng)絡(luò)網(wǎng)關(guān)層進(jìn)行的。 但是，由于現(xiàn)代應(yīng)用程序依賴于移動(dòng)系統(tǒng)和云服務(wù)，因此這種方法的實(shí)用性和可伸縮性有所降低。

應(yīng)用程序開發(fā)人員通常會(huì)利用通過SDK或云服務(wù)提供的身份驗(yàn)證，可用性和加密區(qū)域。 對(duì)于此類情況，建議使用能夠與這些服務(wù)集成的自動(dòng)化服務(wù)來執(zhí)行API安全策略。

2.自動(dòng)化API安全程序–結(jié)論

總結(jié)了不增加人員就自動(dòng)執(zhí)行API安全程序的過程。 現(xiàn)在，您可以開始保護(hù)所有API。

API對(duì)于任何現(xiàn)代應(yīng)用程序都是至關(guān)重要的。 DevOps員工喜歡他們，一旦安全團(tuán)隊(duì)能夠構(gòu)建和自動(dòng)化功能強(qiáng)大的API安全程序，他們也可以學(xué)習(xí)了解其價(jià)值。

• 尋找數(shù)據(jù)科學(xué)面試問題嗎？ 在這里查看。
• 想學(xué)習(xí)數(shù)據(jù)科學(xué)嗎？ 查看這些最佳數(shù)據(jù)科學(xué)教程 。
  

翻譯自: https://www.javacodegeeks.com/2019/07/automate-api-security-program-without-adding-staff.html

api自動(dòng)化

總結(jié)

以上是生活随笔為你收集整理的api自动化_如何在不增加人员的情况下自动化API安全程序的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。