所有文章 > API安全 > API安全:内部审计师快速参考指南
API安全:内部审计师快速参考指南

API安全:内部审计师快速参考指南

API安全:内部审计师的快速参考

“人仍然是最非凡的计算机。”——约翰·肯尼迪_

APIs(应用程序编程接口)是网络不可分割的一部分。当我们访问一个网站时,托管该网站的web服务器将显示一个网页。API是一种工具,它使我们登录的客户端(无论是台式机、笔记本电脑还是移动设备)能够理解网站的数据。API是服务器提供的程序,可以是处理网络流量的同一程序的一部分,也可以是向客户端提供数据的单独程序。

API设计用于两个软件程序之间的交互,而UI(用户界面)设计用于用户直接与程序交互。API表示可以由另一个程序解析和操作的原始数据,而UI表示可以由人类用户轻松读取的数据。

API在这张图中显示的就像餐厅里的服务员把订单拿给厨师,收集所点的食物,然后带着订单回来。

Image 6: API Security

按预期受众划分的APIs类型

  1. 公共APIs。也称为外部或开放式APIs,可供开发人员和其他用户使用,限制最小。
  2. 合作伙伴APIs。它们不公开,也不由战略业务合作伙伴提供,需要特定权限才能访问它们。
  3. 内部APIs。也称为私有APIs,它们对外部用户隐藏,仅向内部系统和内部开发团队公开。
  4. 复合APIs。复合APIs组合了多个数据或服务APIs。它们在微服务架构中很有用,在这种架构中,需要来自多个服务的信息来执行单个任务。

按协议划分的APIs类型

  1. REST.表示状态传输(REST)体系结构是最流行的方法,它依赖于分离API前端和后端的客户机/服务器方法,并在开发和实现中提供了相当大的灵活性。REST是无状态的,这意味着API在请求之间不存储数据或状态。
  2. RPC。远程过程调用(RPC)协议是一种发送多个参数和接收结果的简单方法。RPC APIs调用可执行的操作或进程,而REST APIs主要交换数据或资源,如文档。
  3. 肥皂。简单对象访问协议(SOAP)是由万维网联盟定义的消息传递标准,通常用于创建Web APIs,通常使用XML,尽管它支持多种通信协议。

上下文中的API安全性

Image 7: API Security

API安全性位于以下三个方面的交叉点:

  1. 信息安全涉及信息从创建到最终销毁的整个生命周期的保护。
  2. 网络安全涉及保护网络上的数据流,以及防止未经授权访问网络本身。
  3. 应用程序安全确保软件系统的设计和构建能够抵御攻击和滥用。

API安全:最重要的控制

  1. 所有权和管理。每个API都应该有一个所有者或提供商,他们将通过适当的SLA定义和发布使用条款,以限制API的使用和使用方式,并根据定义和约定的SLA随时修改API的实施。
  2. 根据公司政策设计API。应制定一项关于API的政策,明确说明APIs与技术无关,这意味着它不应依赖于应用程序、编程语言和平台。
  3. 隐私和安全。API的设计应确保消费者数据的隐私,并启用审计跟踪以供审查。数据应该具有端到端的安全性,并且应该与网络无关,以数据为中心。
  4. API治理。APIs应按照既定的数字战略开发,并应明确回答以下问题:
    • 取得了哪些业务成果?
    • 目标受众是谁?
    • API的愿景是什么?它是否已经社会化了?
    • 我们是否建立了API架构和组件的重用?
    • API安全最佳实践是否已激活?
    • 是否有有效的API生命周期管理?
    • APIs是否符合现行法律法规?
    • 是否定期对APIs进行漏洞评估和渗透测试,是否及时采取纠正措施?
  5. 审计控制
    • 从源到目标的数据传输是否受到监控,如果发生故障,是否向管理员发出通知,是否记录在审计跟踪中?
    • 匿名APIs是否被禁止?
    • APIs上部署的用户标识和密码是否用于内部开发和培训目的?
    • API密钥身份验证是否用于保护应用程序的身份验证?
    • 数字证书是否用于所有B2B通信?
    • 是否为内部和外部生产APIs部署了OAuth2.0和安全令牌?

作者注:所表达的观点是作者自己的观点,不一定代表他所属组织或认证机构的观点。

原文链接: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/api-security-an-internal-auditors-quick-reference
#你可能也喜欢这些API文章!

我们有何不同?

API服务商零注册

多API并行试用

数据驱动选型,提升决策效率

查看全部API→
🔥

热门场景实测,选对API

#AI文本生成大模型API

对比大模型API的内容创意新颖性、情感共鸣力、商业转化潜力

25个渠道
一键对比试用API 限时免费

#AI深度推理大模型API

对比大模型API的逻辑推理准确性、分析深度、可视化建议合理性

10个渠道
一键对比试用API 限时免费