api自动化_如何在不增加人员的情况下自动化API安全程序
api自动化
在这篇文章中,我们将撰写一篇综合文章,内容涉及如何在不增加人员的情况下自动执行API安全程序。 在现代世界中,数据对于提供者和消费者都至关重要。 数据科学的出现证明了这一事实。 对于某些组织,整个业务模型是建立在信息交换之上的。
让我们以乘车共享公司为例。 通常,此类企业不拥有向客户提供的车辆。 取而代之的是,公司拥有一个拥有车主和愿意驾驶的人的数据库,一个将为乘车付费的乘客清单以及一个可通过API立即将骑手与驾驶员联系起来的应用程序。 减价弥补了拼车业务的利润。
API是不同类型企业之间发生的重要数据交换的核心。 因为数据总是有被盗的风险,所以安全性是API不可逾越的方面。
在深入研究如何在不增加人员的情况下自动化API安全程序之前,首先让我们了解一下API是什么,为什么它们对组织如此重要以及其他一些基本知识。
1. API定义
应用程序编程接口或API表示一组通信协议,子例程定义和用于构建软件的工具。 换句话说,API是一组明确定义的方法,这些方法使各种软件组件之间的通信成为可能。
人们还读: API的完整形式是什么?
1.1 API的重要性
API是企业交换以及通过数据和服务获利的现代方式。 因为API允许机器对机器的数据检索,所以访问数据变得更快。
如今,几乎每个流行的应用程序都带有一个API,该API可以将其与其他应用程序和数据源集成。 一个典型的现代移动应用程序利用大约10到15个API来与应用程序之间传输有洞察力的数据。
除了移动应用程序外,单页应用程序(即SPA)也严重依赖API。 API的效率和功能已导致组织通过API作为多层核心业务产品,将数据提供给第三方开发人员和其他人员。
1.2 API和安全性
尽管API具有巨大的实用性,但在保护它们以确保更快地交换数据而又不会给母公司或相关品牌带来任何风险的情况下,仍是一个难以克服的难题。
安全团队需要对API进行严格的安全检查,以检查潜在的漏洞和安全风险。 不够安全的API可能会导致过去 ,现在和将来可能发生的严重数据泄露 。
Instagram,赛门铁克和T-Mobile是少数几个较大的公司之一,这些公司由于API的不安全导致数据泄露而遭受了巨大的损失。
API造成的损害可能是巨大的,原因是大多数API都设计为在没有适当安全措施的情况下提供数据负载。
因此,对于依赖于多个应用程序的多个API的品牌和组织来设计和应用严格的API安全程序至关重要。 尽管这样做是可行的,但这确实很棘手。 怎么样? 以下部分说明完整情况。
1.3保护API –一个挑战
标识所有API本身对确保相同性提出了巨大挑战。 任何开发人员都可以在几分钟内创建一个API,然后使用公共云服务(例如AWS和Google Cloud)在互联网上快速轻松地发布该API。
通常,会对API进行多次更改以改善产品。 对API所做的每次更改都可能带来新的风险。
如今,越来越多的API建立在无服务器基础架构上,类似于Amazon Lambda和Azure Functions。 传统的防火墙和网关无法保护此类API。
当前,任何典型的大型组织都在使用数百或数千个API来满足不同的需求。 这本身就对确保所有人的安全提出了巨大挑战。 手动监督和加强每个安全性显然不是一个可行的选择。
解决此问题的唯一方法是使用自动化。 连续自动进行安全评估可为该问题提供切实可行的解决方案。
1.4自动化是解决方案!
通常,安全团队工作过度,人员短缺。 雇用熟练的安全专家并不像看起来那样容易。
因此,增加更多的安全人员来构建和执行API安全程序不是一个可行的选择。 将顾问带到现场可以作为替代方案,但是,这可能会拉长整体预算。 因此,可行的选择是选择自动化。
自动化可以节省设计和执行API安全程序的时间和精力。 自动化程序可在重复但重要的任务中保持一致性,例如分析和记录使用中的API并执行公司策略以控制风险。
1.5在不增加人员的情况下自动执行API安全程序
创建或什至使用API的任何组织都需要API安全框架。 自动化API安全程序包括三个步骤:
- 持续的API发现和规范创建
- 持续的API规范分析和检查
- API政策启用与执行
连续的API发现和规范创建
此步骤仅意味着了解当前正在使用哪些API,以及它们需要完成哪些具体操作。 为了定义API的作用,收集API规范是关键。 但是,存在一些没有任何规范的API。
因此,自动化的API安全程序需要具有一项服务,该服务可以为那些没有任何API的规范创建规范。 规范创建服务还需要持续监视以及发现未注册的新API。
通常,开发人员最初会记录其API。 但是,每当对API进行更改时都更新文档不是一种普遍做法。 因此,需要一种自动工具来收集此类信息并相应地更新API规范。
针对安全威胁的连续API规范分析和检查/分析API
下一步是每次API操作更改时执行安全检查。 以下问题需要回答:
- API是否具有正确的数据加密?
- API是否具有正确的身份验证?
- API被授权访问哪些数据源?
- API的可用性级别如何?
- 哪种授权策略适用于API?
为了避免API数据泄露,API安全团队必须了解属于组织或品牌的每个API的当前安全状态,这一点很重要。
手动API分析仅限于少数API。 对于成千上万的API,连续自动API分析是首选。 值得庆幸的是,有可用的自动化工具可以检查API中的潜在漏洞。
更好的自动化工具还能够生成安全任务以及建议的更改,以供开发人员解决所有API安全问题。 此类工具还可在遇到违反其规范的API功能操作时发出常规警报。
API政策启用与执行
最后一步是创建和实施安全策略。 API安全程序有一个非常重要的部分,需要手动干预。 这是政策的制定。 只有到那时,自动化才能用于执行安全策略。
为了构成API安全策略的基础,需要回答两个问题:
- 谁将能够使用该API?
- API有什么级别的敏感性和监管监督?
传统上,有关身份验证,可用性和加密的API策略实施是在网络网关层进行的。 但是,由于现代应用程序依赖于移动系统和云服务,因此这种方法的实用性和可伸缩性有所降低。
应用程序开发人员通常会利用通过SDK或云服务提供的身份验证,可用性和加密区域。 对于此类情况,建议使用能够与这些服务集成的自动化服务来执行API安全策略。
2.自动化API安全程序–结论
总结了不增加人员就自动执行API安全程序的过程。 现在,您可以开始保护所有API。
API对于任何现代应用程序都是至关重要的。 DevOps员工喜欢他们,一旦安全团队能够构建和自动化功能强大的API安全程序,他们也可以学习了解其价值。
- 寻找数据科学面试问题吗? 在这里查看。
- 想学习数据科学吗? 查看这些最佳数据科学教程 。
翻译自: https://www.javacodegeeks.com/2019/07/automate-api-security-program-without-adding-staff.html
api自动化
api自动化_如何在不增加人员的情况下自动化API安全程序相关推荐
- 如何在不增加人员的情况下自动化API安全程序
在这篇文章中,我们将撰写一篇综合文章,内容涉及如何在不增加人员的情况下自动执行API安全程序. 在现代世界中,数据对于提供者和消费者都至关重要. 数据科学的出现证明了这一事实. 对于某些组织,整个业务 ...
- web开发技术情况_如何在不失去思想的情况下成为Web开发人员
web开发技术情况 by Julie Torres 通过朱莉·托雷斯(Julie Torres) 如何在不失去思想的情况下成为Web开发人员 (How to Become a Web Develope ...
- 静态创意和动态创意_创意只有在有限制的情况下才令人印象深刻
静态创意和动态创意 重点 (Top highlight) You've probably heard the phrase before. It's a principle which origina ...
- pc分布使用率情况_如何在不违反法律的情况下获得廉价和免费的PC游戏
pc分布使用率情况 Being a PC gamer can be an expensive business. You spend hundreds on your hardware and the ...
- deepin终端编译c程序_大神支招 如何在Linux下运行C语言程序
刚入门学习C语言程序的小伙伴比较常遇到的其中一个问题是:如何在Linux下运行C语言程序.今天针对这个热门问题,小编为大家准备了详细的教程! 小编先给大家普及一些关于C语言程序的基本常识:首先大家要清 ...
- 什么情况下你的工作最为成功_如何在没有工作经验的情况下获得技术工作
什么情况下你的工作最为成功 by Anthony Sistilli 安东尼·西斯蒂里(Anthony Sistilli) 如何在没有工作经验的情况下获得技术工作 (How to get a tech ...
- 算法训练营 重编码_关于如何在没有训练营的情况下学习编码的10条提示
算法训练营 重编码 Seattle 2017. I had just attended my first team meeting at my first job as a software deve ...
- java查询数据库大批量数据_数据库有百万数据量的情况下,分页查询的方法及其优化方式...
当需要从数据库查询的表有上万条记录的时候,一次性查询所有结果会变得很慢,特别是随着数据量的增加特别明显,这时需要使用分页查询.对于数据库分页查询,也有很多种方法和优化的点. 下面简单说一下我知道的一些 ...
- python调用百度地图api定位_逆地理编码 rgc 反geo检索 | 百度地图API SDK
使用方法 如不访问境外POI,走以下服务使用流程 编码说明 API请求中需要用到中文或一些特殊字符的参数,如query.region等,为了避免提交到后台乱码,需要对这几个参数值进行编码处理,转换成U ...
最新文章
- AngularJS学习笔记(3)——通过Ajax获取JSON数据
- python使用sklearn的RocCurveDisplay来可视化ROC曲线(受试者工作特征曲线)
- POJ 2135 Farm Tour amp;amp; HDU 2686	Matrix amp;amp; HDU 3376	Matrix Again 费用流求来回最短路...
- 为什么Android项目mainactivity中有一个变量R_博客笔记大汇总,Android优化总结篇
- Demo:基于 Flink SQL 构建流式应用
- 得到app文稿导出_再见了扫描仪!微信打开这个功能,一键将纸质文稿扫描成电子档...
- BZOJ1565[NOI2009]植物大战僵尸——最大权闭合子图+拓扑排序
- POJ 1321 棋盘问题(回溯)
- codeforces 379F-New Year Tree
- 证券基金行业IT运维“远景”如何应对?
- ffmpeg实战教程(七)Android CMake avi解码后SurfaceView显示
- Unity3D shader Blending
- JavaScript学习(二十六)—事件处理程序的添加与删除
- 中国最好的AI竞赛落幕,我们整理了一份夺宝攻略
- 查找本库包括某字段的全部表
- 计算几何——扇形面积
- MATLAB 手写签名拍照 转换黑白图片 方便插入文件签名
- 游戏角色写实头发制作
- Linux安装maven
- P2P流媒体开源项目介绍
热门文章
- 牛客题霸 [ 大数加法]C++题解/答案
- 【莫队/树上莫队/回滚莫队】原理详解及例题:小B的询问(普通莫队),Count on a tree II(树上莫队),kangaroos(回滚莫队)
- CF1540B Tree Array(期望,dp)
- P5012-水の数列【并查集,RMQ】
- CF662C-Binary Table【FWT】
- P3690-[模板]Link Cut Tree(动态树)【Splay】
- 2018/7/12-纪中某C组题【jzoj4272,jzoj4273,jzoj4274】
- ssl2331OJ1373-鱼塘钓鱼 之2【贪心堆优化】
- 2021牛客暑期多校训练营7 B-xay loves monotonicity(线段树+不降子序列)
- I. Space Station(hash记忆化+dp)