API NEWS | 如何使用云原生方法来提高 API 安全性

admin 2023年3月7日18:00:38评论20 views字数 1815阅读6分3秒阅读模式

API NEWS | 如何使用云原生方法来提高 API 安全性


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • Redmonk 和 FusionAuth 的网络研讨会内容

  • 关于如何使用云原生方法来提高 API 安全性

  • REST API 模糊测试工具的覆盖范围


使用 Redmonk 和 FusionAuth 进行 API 身份验证


研讨会上,Rachel Stephens (RedMonk) 和 Dan Moore (DevRel 负责人,FusionAuth) 讨论保护 API 的方法。


该网络研讨会详细介绍了 OAuth,重点关注三个领域:


客户职责:

• 保护令牌

• 为资源服务器请求提供令牌

• 处理令牌过期


授权服务器职责:

• 保护用户数据

• 验证用户并颁发令牌

 遵循标准并实施赠款

     基于用户交互的授权码授予

     机器对机器方案的客户端凭据授予

• 支持令牌验证


资源服务器职责:

• 验证令牌

 验证声明

    • 到期时间

    • 发行人

    • 观众

    • 业务特定索赔


Moore 为保护API 的安全提供了以下建议:

• 从一开始就内置 API 认证和授权

• 避免 OWASP Top 10 API 问题:

• 倾向于 OAuth

    • 授权码授予适用于用户

    • 客户凭证授予适用于机器


点击文末“阅读原文”可观看此次研讨会内容


如何使用云原生方法提高 API 安全性


本周TheNewStack 重点介绍了如何使用云原生方法来提高 API 安全性。

API NEWS | 如何使用云原生方法来提高 API 安全性


有五项建议,分别是:

• 分布式授权和认证

 API 请求和响应处理

• 敏感数据处理

• API 出口保护

• 安全测试和左移


以上不是 API 安全保护的全部列表。作者还没有涉及其他考虑因素,例如记录所有 API(内部和外部 API)以跟踪可能存在的风险或保持设置分布式(即每个服务)API 速率控制限制的能力的重要性使攻击者更难执行 API DDoS 扇出。但是作者已经讨论了对于开发人员来说,最重要的 API 安全防御措施,以便将其构建到当今的软件交付管道和部署环境中。

扇出(fan-out)是一个定义单个逻辑门能够驱动的数字信号输入最大量的专业术语,是指该模块直接调用的下级模块的个数。大多数的TTL逻辑门能够为10个其他数字门或驱动器提供信号。扇出过大一般是因为缺乏中间层次,应该适当增加中间层次的模块。扇出太小时可以把下级模块进一步分解成若干个子功能模块,或者合并到它的上级模块中去。

如果构建上述 API 安全保护比较困难,请记住,这些防御可以在不接触应用程序源代码的情况下实现。相反,无论他们保护的是哪种类型的应用程序或 API 请求,开发人员都可以依靠 API 安全工具来实施分布式访问控制、检查 API 请求和响应、推动安全测试等等。


随着在API面临的风险逐步增加,保护API的安全性也将变得越来越重要。


CATS REST API 模糊测试工具


尽管它已经存在了一段时间,但作者最近研究了CATS REST API 模糊器和负测试工具,发现它可以根据预定义的 89 个模糊器集自动生成、运行和报告。

API NEWS | 如何使用云原生方法来提高 API 安全性


主要功能包括:

通过使用CATS(Swagger 的合同自动生成测试)可以无需编码工作,帮助你在几分钟内生成数千个 API 测试。所有测试都是基于一组预定义的 89 个 Fuzzer 自动生成、运行和报告的。Fuzzer 涵盖了广泛的输入数据,从完全随机的大 Unicode 值到基于请求数据类型和约束的上下文相关值。更重要的一点是,可以利用 CATS 动态生成请求负载并编写简单的端到端功能测试。


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。



往期 · 推荐



API NEWS | 如何使用云原生方法来提高 API 安全性

API NEWS | 如何使用云原生方法来提高 API 安全性

API NEWS | 如何使用云原生方法来提高 API 安全性

API NEWS | 如何使用云原生方法来提高 API 安全性


API NEWS | 如何使用云原生方法来提高 API 安全性

原文始发于微信公众号(星阑科技):API NEWS | 如何使用云原生方法来提高 API 安全性

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月7日18:00:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API NEWS | 如何使用云原生方法来提高 API 安全性http://cn-sec.com/archives/1248266.html

发表评论

匿名网友 填写信息