امنیت API به سرعت در حال تبدیل شدن به مهمترین نوع تهدید امنیت سایبری برای کسبوکارها است. حملات امنیتی API دارند در سال های اخیر افزایش یافته است تا جایی که در حال حاضر بیشتر از باج افزار، که از نظر دفعات حملات، مدتها بالاترین خطر امنیتی بود.
برای مدیران مرکز داده و تیمهای پشتیبانی، امنیت API ممکن است مشکل شخص دیگری به نظر برسد. از این گذشته، طراحی API های ایمن وظیفه ای است که بیشتر به عهده توسعه دهندگان است، و نظارت بر API ها برای خطرات امنیتی چیزی است که معمولاً توسط تیم های امنیتی انجام می شود، نه کارکنانی که در مراکز داده کار می کنند.
با این حال، تیم های مرکز داده نقش مهمی در کمک به اطمینان از اینکه بارهای کاری در حال اجرا در داخل امکانات آنها در برابر خطرات امنیتی API محافظت می شود، دارند. به خواندن ادامه دهید تا نگاهی به آنچه می توان در سطح مرکز داده برای ایمن سازی API ها انجام داد.
امنیت API چیست؟
امنیت API عمل محافظت از API ها در برابر حملاتی است که می تواند منجر به قرار گرفتن در معرض اطلاعات حساس، اختلال در سرویس های حیاتی یا به خطر افتادن برنامه ها شود.
API ها که به برنامه ها یا منابع مجزا اجازه می دهند از طریق شبکه به یکدیگر متصل شوند، دارند برای دهه ها وجود داشته استو همیشه در معرض خطرات امنیتی بالقوه بوده اند. اما با توجه به انفجار در استفاده از API در دهه گذشته – روندی که تا حدی ناشی از تغییر به معماریهای SaaS و تا حدودی ناشی از پذیرش معماریهای توزیعشده بومی ابری است که برای اتصال مؤلفههای جفت شده خود به APIها متکی هستند – امنیت API امروزه نسبت به چهار یا پنج سال پیش توجه جدی تری برای کسب و کارها شده است.
ایمن سازی API ها در مرکز داده
باز هم، تیم هایی که مسئول مدیریت مراکز داده هستند، مدافعان اصلی API ها نیستند. API ها یک منبع نرم افزاری هستند و به هیچ روش خاص یا منحصر به فردی به مراکز داده متصل نیستند.
با این وجود، بسیاری از بارهای کاری میزبانی شده در مراکز داده مدرن به طرق مختلف به APIها متکی هستند. برای مثال، یک برنامه میکروسرویس که در یک مرکز داده اجرا میشود، ممکن است از APIهای داخلی استفاده کند تا به میکروسرویسهایش اجازه دهد تا با یکدیگر ارتباط برقرار کنند. به همین ترتیب، برنامهای که با استفاده از مدل SaaS به کاربران ارائه میشود ممکن است یک API عمومی را نشان دهد که مشتریان میتوانند از آن برای صدور درخواست یا انتقال داده به برنامه استفاده کنند.
دفاع از بار کاری مانند اینها در برابر حمله با اطمینان از ایمن بودن APIها تا حد امکان و نظارت صحیح آنها برای شناسایی حوادثی مانند درخواست های مخرب شروع می شود. اما کارکنان مرکز داده می توانند سهم خود را برای تقویت بیشتر امنیت API به روش های مختلف انجام دهند.
مهار شبکه
یکی از راههای کمک به کاهش خطر سوء استفاده از API، محدود کردن درخواستهای شبکه است که به معنای محدود کردن تعداد درخواستهایی است که یک API مجاز است در دقیقه ارائه دهد. Throttling تأثیر حملات را که در آن عوامل مخرب یک API را به خطر می اندازند و از آن برای دانلود حجم زیادی از اطلاعات حساس استفاده می کنند، محدود می کند.
قوانین throttling را می توان از طریق تجهیزات شبکه در داخل مراکز داده اعمال کرد. کارکنان مدیریت مرکز داده باید با توسعه دهندگان API هماهنگ کنند تا تعیین کنند که چه سطحی از throttling مناسب است، سپس قوانین throttling لازم را در تجهیزات خود پیاده سازی کنند.
دروازه های API
مراکز داده نیز می توانند مستقر شوند دروازه های API برای کمک به ایمن سازی API ها
دروازه API یک رابط مدیریتی است که درخواستهای API ورودی از مشتریان را میپذیرد، آنها را به منابع پشتیبان مناسب هدایت میکند و سپس نتایج را برای مشتری ارسال میکند. از آنجایی که دروازه ها به عنوان یک بافر بین کلاینت ها و API ها عمل می کنند، می توانند به کاهش سوء استفاده از API کمک کنند. دروازه ها همچنین می توانند داده های مانیتور را در مورد درخواست ها و الگوهای API جمع آوری کنند تا به شناسایی تهدیدها کمک کنند.
محافظت از APIهای داخلی
یکی از مزایای کلیدی مراکز داده این است که کنترل بیشتری بر پیکربندیهای شبکه نسبت به کسبوکارها در اکثر محیطهای ابری عمومی فراهم میکنند.
کارکنان مرکز داده باید از این کنترل برای اهداف امنیتی API با طراحی شبکههایی استفاده کنند که در معرض خطرات امنیتی APIها حداقل باشد. به عنوان مثال، APIهای داخلی که نیازی به دسترسی از اینترنت ندارند، باید از شبکههای عمومی جدا شوند و دسترسی به APIهای عمومی میتواند در برخی موارد به میزبانهای خاص یا محدوده آدرس IP محدود شود.
شکاف هوا
مراکز داده همچنین از فاصله هوایی پشتیبانی می کنند، که به معنای جداسازی کامل داده ها از شبکه به منظور جلوگیری از سوء استفاده است.
شکاف هوا مستقیماً از API ها محافظت نمی کند، زیرا API ها طبق تعریف باید به نوعی از شبکه متصل شوند. اما فاصله هوایی میتواند تأثیر حملات API را که دادهها را به خطر میاندازد، کاهش دهد، زیرا شکاف هوایی تضمین میکند که در صورت به خطر افتادن دادههای تولید، یک نسخه پشتیبان تمیز در دسترس است.
مراکز داده ممکن است اولین خط دفاعی در برابر خطرات امنیتی API نباشند، اما نقش مهمی در محافظت از API ها دارند. با گسترش روزافزون حملات API، کسبوکارها باید به این فکر کنند که چگونه میتوانند از منابع داخل مراکز داده برای ایجاد یک لایه اضافی از امنیت API استفاده کنند.