למה חשוב לנהל ולאבטח APIs? חברת ITway עושה לכם סדר
מאחורי הקלעים של כל פעולה אנושית באפליקציה או באתר אינטרנט, עשרות או מאות שירותים שונים ומבוזרים מפעילים זה את זה ומחליפים ביניהם מידע באמצעות API. לכן כיום, רוב בקשות ה-HTTPs המתבצעות בכל רגע נתון הן קריאות API בין מכונה למכונה. שימוש ב-API אינו רק בחירה ארכיטקטונית של מפתחים, אלא גם, במקרים רבים, כלי עסקי מהמעלה ראשונה, שמאפשר לחברה למכור או לצרוך שירותים מקוונים ביעילות.
כאשר APIs הופכים לשער הכניסה ולחזית הדיגיטלית של עסקים, קשה להתפלא על כך, שתוקפים מפנים את מאמציהם לאיתור חולשות בממשקים אלו. חברת גרטנר הכריזה על שנת 2022 כשנה שבה רוב המתקפות יהיו מכוונות כנגד APIs.
לכולם כבר ברור, כי כל ארגון שמנגיש APIs חייב לנהל אותם בחוכמה ולהגן עליהם, אך עדיין קיים בלבול רב באשר לאמצעים השונים. חברת ITway, שותפת פלטינום ותיקה של אקמאי (Akamai), רוצה לעשות קצת סדר. אז על מה חשוב להקפיד?
נראות – הדבר הראשון שתרצו למנוע הוא קיום של Shadow APIs, או במילים אחרות ממשקי APIs ש"נשכחו" ואינם מנוהלים ואינם מאובטחים. זה קורה כמעט בכל ארגון, ולכן חשוב שכל התנועה אליכם תעבור דרך צינור מרכזי אחד, שיודע לזהות בעצמו ממשקי API, ואם כבר שגם יגן עליהם באופן אוטומטי.
ניהול – אם הארגון שלכם משתמש בAPIs מרובים, תוך שינויים, ניהולי גרסאות וכיו"ב, כמעט בלתי אפשרי לתפקד ללא API Gateway, שיאפשר ניהול ריכוזי של כל ה-APIs והתנועה הנכנסת והיוצאת שלהם. השימוש בכלי זה יאפשר גם להתממשק בקלות ל-Identity providers לצורך ניהול הגישה ל-API וכן יאפשר ליישם מדיניות אבטחה בסיסית, כמו Rate limiting.
אבטחה – דאגו לכך שה-WAF שלכם יידע לזהות APIs, למפות אותם עבורכם ולהגן עליהם באופן אוטומטי. פתרונות שדורשים תחזוקה של כוח אדם מיומן עולים הרבה מאוד לאורך זמן ויוצרים תלות של הארגון בעובדים שלפעמים לא נמצאים או עוזבים. פתרון שמבוסס על זיהוי אנומליות ולמידת מכונה ולא רק על זיהוי תבניות יהיה יעיל בהרבה ויצמצם את הצורך בקונפיגורציות ידניות.
עוד אבטחה – הקשיחו את הגנת ה-APIs על ידי הגדרות Positive security, שיאפשרו רק לקריאות העונות על הגדרת Swagger להגיע אל השרתים שלכם.
לפרטים נוספים אנא היכנסו לאתר שלנו או פנו אלינו במייל.