亚洲国产精品线在线观看,香蕉碰碰碰,香蕉国产精品偷在线播放

老秦夜譯

　　CTI論壇（ctiforum.com）（編譯/老秦）：隨著越來越多的公司將數(shù)字路線擴展到市場，開發(fā)人員開始傾向于使用易于使用和擴展的新云平臺，以比以往更快地交付新功能。結(jié)果，安全團隊現(xiàn)在面臨著管理和保護完全基于公共互聯(lián)網(wǎng)構(gòu)建的這些基于服務的新應用程序體系結(jié)構(gòu)的新挑戰(zhàn)。

　　現(xiàn)在可以規(guī)避傳統(tǒng)方法，例如數(shù)據(jù)中心防火墻或Web應用程序防火墻（WAF），為領(lǐng)導者創(chuàng)建強制功能，以重新評估其整個安全程序。前進的重點必須圍繞應用程序?qū)勇┒吹暮诵摹?/div>

　　如今，公司需要進行更深入的檢查，以從安全評估人員的角度了解身份驗證，授權(quán)，可用性和加密是否正在按預期工作。這在受到嚴格監(jiān)管并存儲非常敏感數(shù)據(jù)的行業(yè)（例如醫(yī)療保健和金融）中至關(guān)重要。

　　API是必不可少的

　　沒有API，就不會有云計算，社交媒體或物聯(lián)網(wǎng)（IoT）。API在整個堆棧應用程序和整個Internet上傳輸數(shù)據(jù)；它們是使數(shù)字化轉(zhuǎn)型和創(chuàng)新保持完整并不斷發(fā)展的粘合劑。

　　根據(jù)Gartner關(guān)于其API策略成熟度模型的報告，網(wǎng)絡應用程序已經(jīng)看到40％的攻擊是通過API而不是用戶界面來進行的。同一位分析師還預測，到2021年，這個數(shù)字將增加到90％。由于API可以幫助擴展業(yè)務，簡化流程并簡化開發(fā)人員的生活，因此它們對于業(yè)務至關(guān)重要并且會繼續(xù)擴展。正如我們所看到的，他們的攻擊者和對組織造成嚴重破壞的機會也是如此。這是因為API也包含龐大且不斷擴展的攻擊面。

　　API通常是數(shù)據(jù)泄露和泄漏數(shù)據(jù)的來源。有了所有這些微服務，大量的代碼就被丟到云或Web應用程序中，這使得清點清單，評估風險和保護大量API變得困難。API最終為黑客提供了一個寶藏地圖，可以幫助他們找到最易受攻擊的攻擊媒介進行數(shù)據(jù)竊取。

　　保護所有這些API

　　在實現(xiàn)API安全之前，我們需要問自己的最大問題是：“發(fā)現(xiàn)新的或更改的API或微服務的過程是什么？我們可以輕松地說我們知道我們所有API的位置嗎？在我們能找到的那些中，他們的安全態(tài)勢如何？”

　　API發(fā)現(xiàn)可以改變有關(guān)公司應用程序安全方法的一切。這是可視化整個應用程序攻擊面的第一步。API不僅會不斷地添加到應用程序中，而且經(jīng)常會被第三方開發(fā)人員和開放源代碼庫使用。

　　一流的安全策略和方法需要在應用程序堆棧的每一層都包括24/7全天候了解正在使用的每個API以及這些API正在處理的所有客戶端數(shù)據(jù)。例如，移動應用程序通常將包含12到18個第三方SDKs。這意味著將需要對本機代碼以及第三方開源和商業(yè)SDKs內(nèi)的安全問題進行靜態(tài)和動態(tài)連續(xù)掃描的典型移動應用程序。

　　由于可以從應用程序堆棧中的任何位置調(diào)用API來訪問數(shù)據(jù)，從而使您的移動應用程序能夠充當多個用戶的單一載體，因此它們同時為存儲在整個堆棧中的敏感數(shù)據(jù)提供了單個入口點。大多數(shù)公司購買移動應用程序掃描儀或聘請顧問進行季度審核以發(fā)現(xiàn)漏洞。這還不足以跟蹤每日的API更改和漏洞，直到為時已晚。

　　與移動應用程序相似，由于SPA架構(gòu)的動態(tài)和實時呈現(xiàn)特性，傳統(tǒng)的Web應用程序掃描程序缺乏向單頁應用程序（SPA）中添加安全性見解的能力。他們不知道如何看到使這些新的Web應用程序體系結(jié)構(gòu)在現(xiàn)代開發(fā)人員中如此流行的API數(shù)據(jù)傳輸層。

　　一流的API安全性要求對移動和現(xiàn)代Web應用程序進行全面的安全性分析。數(shù)據(jù)通常先從Web或移動應用程序的客戶端層開始，然后再被帶到云中。保護敏感數(shù)據(jù)和保護用戶隱私是一項持續(xù)的工作，需要從移動設(shè)備到Web到后端云服務進行連續(xù)的漏洞分析。當今的攻擊者通常專注于利用客戶端層來劫持移動應用程序或SPA中殘留的用戶會話，嵌入式密碼以及有毒令牌。

　　保護API還需要自動修復，該修復必須完全集成到CI / CD管道中。我并不是在談論將評估工具集成到CI / CD管道中，也不是報告發(fā)現(xiàn)的針對Jenkins，Bugzilla和Jira等系統(tǒng)的漏洞--這是評估工具的賭注。需要的是對CI / CD管道中的問題進行自動修復。如今，無需等待手動的漏洞驗證然后再進行補救，如今的API安全性需要自動修復，從而使開發(fā)人員不必花費時間來解決常見問題。

　　先進的API安全性甚至可以使它更進一步，并提供自動化的漏洞黑客工具包，以進行預定的生產(chǎn)前評估。與上述顧問方案相似，雇用白帽黑客來管理預生產(chǎn)環(huán)境中的即時滲透測試。高級選項部署的工具包會執(zhí)行相同的黑客活動，但要連續(xù)進行。使用這種工具包不僅成本效益更高，而且還可以不間斷地查找和修復漏洞。

　　API是必不可少的。它們都是關(guān)于連接和協(xié)作以共享信息的，但是需要注意確保敏感數(shù)據(jù)不會通過面向公眾的移動，Web和云應用程序在互聯(lián)網(wǎng)上裸露。

　　聲明：版權(quán)所有非合作媒體謝絕轉(zhuǎn)載

　　作者：Felicia Haggarty

　　原文網(wǎng)址：

　　https://cloud-computing.tmcnet.com/breaking-news/articles/446756-importance-securing-API-cloud-computing.htm

【免責聲明】本文僅代表作者本人觀點，與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立，不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考，并請自行承擔全部責任。

相關(guān)熱詞搜索： API 云計算

上一篇:企業(yè)融合通信業(yè)務發(fā)展最新模式概論-背景介紹

下一篇:云基礎(chǔ)架構(gòu)采用者避坑指南：傳統(tǒng) IT 向云遷移實踐

相關(guān)閱讀：