登录/注册 账户

安全

API的安全

什么是API安全性?

API安全性是对API完整性的保护——包括您拥有的和您使用的API。但这意味着什么呢?

嗯,你可能听说过的物联网(IOT),在计算能力嵌入到日常物品。物联网能够将手机连接到你的冰箱,这样当你在杂货店停止在回家的路上,你知道你需要什么在一小时才得知即兴晚宴。或许你是一个DevOps的团队的一部分使用微服务和容器来构建和部署传统和云计算的本机应用程序在一个快节奏的,迭代的方式。api是微服务和容器通信的最常见方式之一,就像系统和应用程序。由于集成和互联性变得更加重要,所以做的API。


为什么API安全重要?

企业使用API​​连接服务和传输数据。破坏、暴露或被黑的api是重大数据泄露的背后原因。它们将敏感的医疗、金融和个人数据暴露给公众使用。也就是说,并非所有数据都是相同的,也不应该以相同的方式进行保护。如何实现API安全性取决于传输的数据类型。

如果您的API连接到第三方应用程序,请理解该应用程序是如何将信息汇集到internet的。用上面的例子来说,也许你不在乎别人是否发现了你冰箱里的东西,但是如果他们使用相同的API来追踪您的位置你可能会更关注。


什么是网络API的安全?REST API的安全与SOAP API的安全性。

网页API的安全性关注的是数据通过API传输连接到互联网。的OAuth(开放授权)是开放标准访问委托。它使用户能够给第三方访问网络资源而无需共享密码。必威体育网页OAuth是技术标准,让您分享柯基犬肚皮翻牌编译视频到你用一个单一的“共享”按钮的社交网络。

大多数API的实现要么REST(具象状态传输)或SOAP(简单对象访问协议)

REST api使用HTTP并提供支持传输层安全(TLS)加密。TLS是一种保持internet连接私有并检查在两个系统(服务器和服务器,或者服务器和客户机)之间发送的数据是否加密和未修改的标准。这意味着试图从购物网站上暴露你的信用卡信息的黑客既不能读取你的数据也不能修改它。如果URL以“HTTPS”(超文本传输协议安全)开头,你就知道网站是否受TLS保护了。

REST api还使用JavaScript对象符号(JSON),它是一种文件格式,可以更容易地在web浏览器上传输数据。通过使用HTTP和JSON, REST api不需要存储或重新打包数据,这使它们比SOAP api快得多。

SOAP api使用称为Web服务安全(WS安全)的内置协议。这些协议定义了以机密性和身份验证为指导的规则集。SOAP api支持由两个主要的国际标准组织(the促进结构化信息标准的组织(OASIS)万维网联盟(W3C)。它们结合使用XML加密、XML签名和SAML令牌来验证身份验证和授权。通常,SOAP api因具有更全面的安全措施而受到赞扬,但它们也需要更多的管理。由于这些原因,建议处理敏感数据的组织使用SOAP api。


哪些是最常见的API安全最佳实践?

你可能不会把积蓄藏在床垫下。大多数人把钱放在一个值得信任的环境(银行),并使用不同的方法来授权和验证支付。API安全性也是类似的。您需要一个具有身份验证和授权策略的可信环境。

下面是一些可以加强你的API安全的最常用方法:

  • 使用令牌。建立可信身份,然后通过使用来控制对服务和资源的访问必威体育网页令牌分配给那些认同。
  • 使用加密和签名。使用类似于TLS的方法加密数据(见上面)。需要签名来确保正确的用户解密和修改您的数据,而不是其他人。
  • 识别漏洞。跟上你的操作系统,网络,驱动程序和API组件。知道一切是如何一起工作,并确定可用于侵入您的API的薄弱点。用sniffer检测安全问题并跟踪数据泄漏。
  • 使用配额和限制。在您的API是如何经常被调用,并追踪其历史使用场所配额。在API调用的更多可能表明,它正在被滥用。它也可能是一个编程错误,如调用API中无限循环。请节流,以保护您的API从尖峰和拒绝服务攻击的规则。
  • 使用API网关API网关作为执法的API交通的主要点。一个好的网关将允许您验证业务以及控制和分析您的API是如何使用的。

API管理和安全

最后,API安全性通常归结为良好的API管理。许多API管理平台支持三种类型的安全方案。这些都是:

  • 一个API密匙即单记号字符串(即,小的硬件装置,其提供了独特的认证信息)。
  • 基本身份验证(APP ID / APP密钥),其是一种双令牌字符串溶液(即用户名和密码)。
  • OpenID连接(OIDC),其上流行的OAuth框架的顶部上的简单的身份层(即它验证通过获得基本简档信息,并使用认证服务器的用户)。

当您选择许多安全机制,它可以处理的API经理知道如何,并有可以如何将上述的API的安全实践的计划。


为什么选择红帽的API管理和安全

数据泄露是可怕的,但是你可以采取措施向着更好的安全性。API是值得的,你只需要知道要寻找什么。很多它归结为连续安全措施比如,问正确的问题,知道哪些领域需要关注,以及使用可以信任的API管理器。我们是来帮忙的。

在红帽,我们推荐屡获殊荣的Red Hat 3比例API管理。这包括:

  • 管理API、应用程序和开发人员角色的API管理器
  • 流量管理器(API网关),用于执行API管理器的策略
  • 身份提供者(IDP)集线器,支持广泛的身份验证协议

在API网关,红帽3比例API管理解码到期的时间戳标记;检查该客户端标识是有效的;并确认了使用公共密钥签名。

入门

为内部或外部用户提供易于共享、安全、分发、控制和盈利的api。

一个分布式的、云本地的集成平台,连接云中的预先安装的、以及两者之间的任何地方。

您可以用api做更多的事情