如今，公司需要進(jìn)行更深入的檢查，以從安全評(píng)估人員的角度了解身份驗(yàn)證，授權(quán)，可用性和加密是否正在按預(yù)期工作。這在受到嚴(yán)格監(jiān)管并存儲(chǔ)非常敏感數(shù)據(jù)的行業(yè)（例如醫(yī)療保健和金融）中至關(guān)重要。

　　沒(méi)有API，就不會(huì)有云計(jì)算，社交媒體或物聯(lián)網(wǎng)（IoT）。API在整個(gè)堆棧應(yīng)用程序和整個(gè)Internet上傳輸數(shù)據(jù)；它們是使數(shù)字化轉(zhuǎn)型和創(chuàng)新保持完整并不斷發(fā)展的粘合劑。

　　根據(jù)Gartner關(guān)于其API策略成熟度模型的報(bào)告，網(wǎng)絡(luò)應(yīng)用程序已經(jīng)看到40％的攻擊是通過(guò)API而不是用戶(hù)界面來(lái)進(jìn)行的。同一位分析師還預(yù)測(cè)，到2021年，這個(gè)數(shù)字將增加到90％。由于API可以幫助擴(kuò)展業(yè)務(wù)，簡(jiǎn)化流程并簡(jiǎn)化開(kāi)發(fā)人員的生活，因此它們對(duì)于業(yè)務(wù)至關(guān)重要并且會(huì)繼續(xù)擴(kuò)展。正如我們所看到的，他們的攻擊者和對(duì)組織造成嚴(yán)重破壞的機(jī)會(huì)也是如此。這是因?yàn)锳PI也包含龐大且不斷擴(kuò)展的攻擊面。

　　API通常是數(shù)據(jù)泄露和泄漏數(shù)據(jù)的來(lái)源。有了所有這些微服務(wù)，大量的代碼就被丟到云或Web應(yīng)用程序中，這使得清點(diǎn)清單，評(píng)估風(fēng)險(xiǎn)和保護(hù)大量API變得困難。API最終為黑客提供了一個(gè)寶藏地圖，可以幫助他們找到最易受攻擊的攻擊媒介進(jìn)行數(shù)據(jù)竊取。

　　在實(shí)現(xiàn)API安全之前，我們需要問(wèn)自己的最大問(wèn)題是：“發(fā)現(xiàn)新的或更改的API或微服務(wù)的過(guò)程是什么？我們可以輕松地說(shuō)我們知道我們所有API的位置嗎？在我們能找到的那些中，他們的安全態(tài)勢(shì)如何？”

　　API發(fā)現(xiàn)可以改變有關(guān)公司應(yīng)用程序安全方法的一切。這是可視化整個(gè)應(yīng)用程序攻擊面的第一步。API不僅會(huì)不斷地添加到應(yīng)用程序中，而且經(jīng)常會(huì)被第三方開(kāi)發(fā)人員和開(kāi)放源代碼庫(kù)使用。

　　一流的安全策略和方法需要在應(yīng)用程序堆棧的每一層都包括24/7全天候了解正在使用的每個(gè)API以及這些API正在處理的所有客戶(hù)端數(shù)據(jù)。例如，移動(dòng)應(yīng)用程序通常將包含12到18個(gè)第三方SDKs。這意味著將需要對(duì)本機(jī)代碼以及第三方開(kāi)源和商業(yè)SDKs內(nèi)的安全問(wèn)題進(jìn)行靜態(tài)和動(dòng)態(tài)連續(xù)掃描的典型移動(dòng)應(yīng)用程序。

　　由于可以從應(yīng)用程序堆棧中的任何位置調(diào)用API來(lái)訪問(wèn)數(shù)據(jù)，從而使您的移動(dòng)應(yīng)用程序能夠充當(dāng)多個(gè)用戶(hù)的單一載體，因此它們同時(shí)為存儲(chǔ)在整個(gè)堆棧中的敏感數(shù)據(jù)提供了單個(gè)入口點(diǎn)。大多數(shù)公司購(gòu)買(mǎi)移動(dòng)應(yīng)用程序掃描儀或聘請(qǐng)顧問(wèn)進(jìn)行季度審核以發(fā)現(xiàn)漏洞。這還不足以跟蹤每日的API更改和漏洞，直到為時(shí)已晚。

　　與移動(dòng)應(yīng)用程序相似，由于SPA架構(gòu)的動(dòng)態(tài)和實(shí)時(shí)呈現(xiàn)特性，傳統(tǒng)的Web應(yīng)用程序掃描程序缺乏向單頁(yè)應(yīng)用程序（SPA）中添加安全性見(jiàn)解的能力。他們不知道如何看到使這些新的Web應(yīng)用程序體系結(jié)構(gòu)在現(xiàn)代開(kāi)發(fā)人員中如此流行的API數(shù)據(jù)傳輸層。

　　一流的API安全性要求對(duì)移動(dòng)和現(xiàn)代Web應(yīng)用程序進(jìn)行全面的安全性分析。數(shù)據(jù)通常先從Web或移動(dòng)應(yīng)用程序的客戶(hù)端層開(kāi)始，然后再被帶到云中。保護(hù)敏感數(shù)據(jù)和保護(hù)用戶(hù)隱私是一項(xiàng)持續(xù)的工作，需要從移動(dòng)設(shè)備到Web到后端云服務(wù)進(jìn)行連續(xù)的漏洞分析。當(dāng)今的攻擊者通常專(zhuān)注于利用客戶(hù)端層來(lái)劫持移動(dòng)應(yīng)用程序或SPA中殘留的用戶(hù)會(huì)話，嵌入式密碼以及有毒令牌。

　　保護(hù)API還需要自動(dòng)修復(fù)，該修復(fù)必須完全集成到CI / CD管道中。我并不是在談?wù)搶⒃u(píng)估工具集成到CI / CD管道中，也不是報(bào)告發(fā)現(xiàn)的針對(duì)Jenkins，Bugzilla和Jira等系統(tǒng)的漏洞--這是評(píng)估工具的賭注。需要的是對(duì)CI / CD管道中的問(wèn)題進(jìn)行自動(dòng)修復(fù)。如今，無(wú)需等待手動(dòng)的漏洞驗(yàn)證然后再進(jìn)行補(bǔ)救，如今的API安全性需要自動(dòng)修復(fù)，從而使開(kāi)發(fā)人員不必花費(fèi)時(shí)間來(lái)解決常見(jiàn)問(wèn)題。

　　先進(jìn)的API安全性甚至可以使它更進(jìn)一步，并提供自動(dòng)化的漏洞黑客工具包，以進(jìn)行預(yù)定的生產(chǎn)前評(píng)估。與上述顧問(wèn)方案相似，雇用白帽黑客來(lái)管理預(yù)生產(chǎn)環(huán)境中的即時(shí)滲透測(cè)試。高級(jí)選項(xiàng)部署的工具包會(huì)執(zhí)行相同的黑客活動(dòng)，但要連續(xù)進(jìn)行。使用這種工具包不僅成本效益更高，而且還可以不間斷地查找和修復(fù)漏洞。

　　API是必不可少的。它們都是關(guān)于連接和協(xié)作以共享信息的，但是需要注意確保敏感數(shù)據(jù)不會(huì)通過(guò)面向公眾的移動(dòng)，Web和云應(yīng)用程序在互聯(lián)網(wǎng)上裸露。

　　作者：Felicia Haggarty

　　原文網(wǎng)址：

　　https://cloud-computing.tmcnet.com/breaking-news/articles/446756-importance-securing-API-cloud-computing.htm