API安全：内部审计师的快速参考

“人仍然是最非凡的计算机。”——约翰·肯尼迪_

APIs（应用程序编程接口）是网络不可分割的一部分。当我们访问一个网站时，托管该网站的web服务器将显示一个网页。API是一种工具，它使我们登录的客户端（无论是台式机、笔记本电脑还是移动设备）能够理解网站的数据。API是服务器提供的程序，可以是处理网络流量的同一程序的一部分，也可以是向客户端提供数据的单独程序。

API设计用于两个软件程序之间的交互，而UI（用户界面）设计用于用户直接与程序交互。API表示可以由另一个程序解析和操作的原始数据，而UI表示可以由人类用户轻松读取的数据。

API在这张图中显示的就像餐厅里的服务员把订单拿给厨师，收集所点的食物，然后带着订单回来。

按预期受众划分的APIs类型

1. 公共APIs。也称为外部或开放式APIs，可供开发人员和其他用户使用，限制最小。
2. 合作伙伴APIs。它们不公开，也不由战略业务合作伙伴提供，需要特定权限才能访问它们。
3. 内部APIs。也称为私有APIs，它们对外部用户隐藏，仅向内部系统和内部开发团队公开。
4. 复合APIs。复合APIs组合了多个数据或服务APIs。它们在微服务架构中很有用，在这种架构中，需要来自多个服务的信息来执行单个任务。

按协议划分的APIs类型

1. REST.表示状态传输（REST）体系结构是最流行的方法，它依赖于分离API前端和后端的客户机/服务器方法，并在开发和实现中提供了相当大的灵活性。REST是无状态的，这意味着API在请求之间不存储数据或状态。
2. RPC。远程过程调用（RPC）协议是一种发送多个参数和接收结果的简单方法。RPC APIs调用可执行的操作或进程，而REST APIs主要交换数据或资源，如文档。
3. 肥皂。简单对象访问协议（SOAP）是由万维网联盟定义的消息传递标准，通常用于创建Web APIs，通常使用XML，尽管它支持多种通信协议。

上下文中的API安全性

API安全性位于以下三个方面的交叉点：

1. 信息安全涉及信息从创建到最终销毁的整个生命周期的保护。
2. 网络安全涉及保护网络上的数据流，以及防止未经授权访问网络本身。
3. 应用程序安全确保软件系统的设计和构建能够抵御攻击和滥用。

API安全：最重要的控制

1. 所有权和管理。每个API都应该有一个所有者或提供商，他们将通过适当的SLA定义和发布使用条款，以限制API的使用和使用方式，并根据定义和约定的SLA随时修改API的实施。
2. 根据公司政策设计API。应制定一项关于API的政策，明确说明APIs与技术无关，这意味着它不应依赖于应用程序、编程语言和平台。
3. 隐私和安全。API的设计应确保消费者数据的隐私，并启用审计跟踪以供审查。数据应该具有端到端的安全性，并且应该与网络无关，以数据为中心。
4. API治理。APIs应按照既定的数字战略开发，并应明确回答以下问题：
   • 取得了哪些业务成果？
   • 目标受众是谁？
   • API的愿景是什么？它是否已经社会化了？
   • 我们是否建立了API架构和组件的重用？
   • API安全最佳实践是否已激活？
   • 是否有有效的API生命周期管理？
   • APIs是否符合现行法律法规？
   • 是否定期对APIs进行漏洞评估和渗透测试，是否及时采取纠正措施？
5. 审计控制
   • 从源到目标的数据传输是否受到监控，如果发生故障，是否向管理员发出通知，是否记录在审计跟踪中？
   • 匿名APIs是否被禁止？
   • APIs上部署的用户标识和密码是否用于内部开发和培训目的？
   • API密钥身份验证是否用于保护应用程序的身份验证？
   • 数字证书是否用于所有B2B通信？
   • 是否为内部和外部生产APIs部署了OAuth2.0和安全令牌？

作者注：所表达的观点是作者自己的观点，不一定代表他所属组织或认证机构的观点。

原文链接: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/api-security-an-internal-auditors-quick-reference