現(xiàn)在可以規(guī)避傳統(tǒng)方法，例如數(shù)據(jù)中心防火墻或Web應用程序防火墻（WAF），為領導者創(chuàng)建強制功能，以重新評估其整個安全程序。前進的重點必須圍繞應用程序層漏洞的核心。

　　如今，公司需要進行更深入的檢查，以從安全評估人員的角度了解身份驗證，授權，可用性和加密是否正在按預期工作。這在受到嚴格監(jiān)管并存儲非常敏感數(shù)據(jù)的行業(yè)（例如醫(yī)療保健和金融）中至關重要。

　　沒有API，就不會有云計算，社交媒體或物聯(lián)網(wǎng)（IoT）。API在整個堆棧應用程序和整個Internet上傳輸數(shù)據(jù)；它們是使數(shù)字化轉型和創(chuàng)新保持完整并不斷發(fā)展的粘合劑。

　　根據(jù)Gartner關于其API策略成熟度模型的報告，網(wǎng)絡應用程序已經(jīng)看到40％的攻擊是通過API而不是用戶界面來進行的。同一位分析師還預測，到2021年，這個數(shù)字將增加到90％。由于API可以幫助擴展業(yè)務，簡化流程并簡化開發(fā)人員的生活，因此它們對于業(yè)務至關重要并且會繼續(xù)擴展。正如我們所看到的，他們的攻擊者和對組織造成嚴重破壞的機會也是如此。這是因為API也包含龐大且不斷擴展的攻擊面。

　　API通常是數(shù)據(jù)泄露和泄漏數(shù)據(jù)的來源。有了所有這些微服務，大量的代碼就被丟到云或Web應用程序中，這使得清點清單，評估風險和保護大量API變得困難。API最終為黑客提供了一個寶藏地圖，可以幫助他們找到最易受攻擊的攻擊媒介進行數(shù)據(jù)竊取。

　　在實現(xiàn)API安全之前，我們需要問自己的最大問題是：“發(fā)現(xiàn)新的或更改的API或微服務的過程是什么？我們可以輕松地說我們知道我們所有API的位置嗎？在我們能找到的那些中，他們的安全態(tài)勢如何？”

　　API發(fā)現(xiàn)可以改變有關公司應用程序安全方法的一切。這是可視化整個應用程序攻擊面的第一步。API不僅會不斷地添加到應用程序中，而且經(jīng)常會被第三方開發(fā)人員和開放源代碼庫使用。

　　一流的安全策略和方法需要在應用程序堆棧的每一層都包括24/7全天候了解正在使用的每個API以及這些API正在處理的所有客戶端數(shù)據(jù)。例如，移動應用程序通常將包含12到18個第三方SDKs。這意味著將需要對本機代碼以及第三方開源和商業(yè)SDKs內的安全問題進行靜態(tài)和動態(tài)連續(xù)掃描的典型移動應用程序。

　　由于可以從應用程序堆棧中的任何位置調用API來訪問數(shù)據(jù)，從而使您的移動應用程序能夠充當多個用戶的單一載體，因此它們同時為存儲在整個堆棧中的敏感數(shù)據(jù)提供了單個入口點。大多數(shù)公司購買移動應用程序掃描儀或聘請顧問進行季度審核以發(fā)現(xiàn)漏洞。這還不足以跟蹤每日的API更改和漏洞，直到為時已晚。

　　與移動應用程序相似，由于SPA架構的動態(tài)和實時呈現(xiàn)特性，傳統(tǒng)的Web應用程序掃描程序缺乏向單頁應用程序（SPA）中添加安全性見解的能力。他們不知道如何看到使這些新的Web應用程序體系結構在現(xiàn)代開發(fā)人員中如此流行的API數(shù)據(jù)傳輸層。

　　一流的API安全性要求對移動和現(xiàn)代Web應用程序進行全面的安全性分析。數(shù)據(jù)通常先從Web或移動應用程序的客戶端層開始，然后再被帶到云中。保護敏感數(shù)據(jù)和保護用戶隱私是一項持續(xù)的工作，需要從移動設備到Web到后端云服務進行連續(xù)的漏洞分析。當今的攻擊者通常專注于利用客戶端層來劫持移動應用程序或SPA中殘留的用戶會話，嵌入式密碼以及有毒令牌。

　　保護API還需要自動修復，該修復必須完全集成到CI / CD管道中。我并不是在談論將評估工具集成到CI / CD管道中，也不是報告發(fā)現(xiàn)的針對Jenkins，Bugzilla和Jira等系統(tǒng)的漏洞--這是評估工具的賭注。需要的是對CI / CD管道中的問題進行自動修復。如今，無需等待手動的漏洞驗證然后再進行補救，如今的API安全性需要自動修復，從而使開發(fā)人員不必花費時間來解決常見問題。

　　先進的API安全性甚至可以使它更進一步，并提供自動化的漏洞黑客工具包，以進行預定的生產(chǎn)前評估。與上述顧問方案相似，雇用白帽黑客來管理預生產(chǎn)環(huán)境中的即時滲透測試。高級選項部署的工具包會執(zhí)行相同的黑客活動，但要連續(xù)進行。使用這種工具包不僅成本效益更高，而且還可以不間斷地查找和修復漏洞。

　　API是必不可少的。它們都是關于連接和協(xié)作以共享信息的，但是需要注意確保敏感數(shù)據(jù)不會通過面向公眾的移動，Web和云應用程序在互聯(lián)網(wǎng)上裸露。

　　作者：Felicia Haggarty

　　原文網(wǎng)址：

　　https://cloud-computing.tmcnet.com/breaking-news/articles/446756-importance-securing-API-cloud-computing.htm