Jak zabezpečit API pomocí Apigee a Google Cloud Armor
Představení funkcí Apigee Advanced API Security pro Google Cloud
Rozhraní API využívají organizace po celém světě k usnadnění a standardizaci poskytování služeb a dat pro digitální služby.
Rostoucí počet digitálních služeb zvýšil využívání rozhraní API a objem provozu. S nárůstem počtu nebezpečných útoků na rozhraní API se však důležitým aspektem pro řešení obchodních rizik stalo také zabezpečení API.
Aby Google Cloud pomohl zákazníkům snadněji řešit jejich rostoucí potřeby v oblasti zabezpečení API, představuje předběžnou verzi Advanced API Security, komplexní sadu funkcí zabezpečení API postavenou na platformě pro správu API Apigee. Advanced API Security umožňuje organizacím snadněji odhalovat bezpečnostní hrozby. Zde se blíže podíváme na dvě klíčové funkce zahrnuté v tomto představeném produktu: identifikaci chybné konfigurace rozhraní API a detekci botů.
Identifikace chybné konfigurace API
Špatně nakonfigurované rozhraní API je jednou z hlavních příčin bezpečnostních incidentů API. V roce 2017 společnost Gartner® předpověděla, že do roku 2022 bude zneužití rozhraní API nejčastějším prostředkem útoku, který povede k narušení bezpečnosti dat v podnikových webových aplikacích. Bylo zjištěno, že chybná konfigurace je nejčastější příčinou úniků dat a že “příliš mnoho cloudových rozhraní API a rozhraní, která nelze adekvátně řídit”, jsou často hlavním bodem útoku při kybernetických útocích.
Přestože identifikace a řešení chybných konfigurací rozhraní API je pro mnoho organizací nejvyšší prioritou, proces správy konfigurace může zabrat mnoho času a vyžadovat mnoho zdrojů.
Pokročilé zabezpečení API může týmům API usnadnit identifikaci proxy serverů API, které nesplňují bezpečnostní standardy. Aby pomohl identifikovat rozhraní API, která jsou špatně nakonfigurována nebo u kterých dochází ke zneužití, Advanced API Security pravidelně vyhodnocuje spravovaná rozhraní API a při zjištění problémů s konfigurací poskytuje týmům API doporučená opatření.
Rozhraní API tvoří nedílnou součást digitální spojovací sítě, která zajišťuje hladký chod moderní medicíny pro pacienty a zdravotnický personál. Jeden z běžných případů použití API ve zdravotnictví nastává, když zdravotnická organizace zadává informace o zdravotním pojištění pacienta do systému, který spolupracuje s pojišťovnami. Tento systém téměř okamžitě určí úhradu konkrétního léku nebo zákroku pacientovi, což je proces, který je umožněn rozhraním API. Vzhledem k tomu, že se přenášejí citlivé osobní údaje, je důležité, aby byly zavedeny požadované zásady ověřování a autorizace, aby k rozhraní API mohli přistupovat pouze oprávnění uživatelé, například pojišťovna.
Pokročilé zabezpečení API dokáže zjistit, zda nebyly použity požadované zásady zabezpečení, což je upozornění, které může pomoci snížit bezpečnostní rizika API. Díky využití Advanced API Security mohou týmy API v různých organizacích snadněji odhalit problémy s chybnou konfigurací a mohou snížit bezpečnostní rizika pro citlivé informace.
Detekce botů
Vzhledem k rostoucímu objemu provozu API dochází také k nárůstu kybernetické kriminality v podobě útoků botů API – automatizovaných softwarových programů nasazených na internetu za nekalými účely, jako je krádež identity.
Pokročilé zabezpečení API využívá předem nakonfigurovaná pravidla, která týmům API pomáhají snadněji identifikovat škodlivé a nebezpečné roboty v rámci provozu API. Každé z pravidel představuje jiný typ neobvyklého provozu z jedné IP adresy. Pokud vzor provozu API splňuje některé z pravidel, Advanced API Security jej nahlásí jako bota.
Kromě toho může Advanced API Security urychlit proces identifikace narušení dat tím, že identifikuje boty, které úspěšně vyústily ve stavový kód odpovědi HTTP 200 OK.
Rozhraní API finančních služeb jsou často cílem útoků škodlivých botů, protože zpracovávají data vysoké hodnoty. Banka nebo finanční instituce, která přijala standardy otevřeného bankovnictví tím, že zpřístupnila rozhraní API zákazníkům a partnerům, může použít pokročilé zabezpečení rozhraní API, které usnadní analýzu vzorců provozu a identifikaci zdrojů škodlivého provozu. S tím se můžete setkat, když vám banka umožní přístup k vašim datům pomocí aplikace třetí strany. Zatímco zákeřný hacker by se mohl pokusit využít k přístupu k těmto informacím bota, Advanced API Security může pomoci týmu API banky identifikovat a zastavit zákeřnou aktivitu botů v provozu API.
Zabezpečení API ve společnosti Equinix
Společnost Equinix podporuje světové digitální lídry a zároveň provozuje globální síť více než 240 datových center s 99,999% nebo vyšší dobou provozuschopnosti, aby posílila globální propojení organizací a ušetřila čas a úsilí díky platformě pro správu API Apigee.
“Klíčovým faktorem našeho úspěchu je Apigee společnosti Google, který bezpečně a rychle poskytuje služby digitální infrastruktury našim zákazníkům a partnerům,” řekl Yun Freund, senior viceprezident pro platformy ve společnosti Equinix.
Bezpečnost je klíčovým pilířem strategie API-first a společnost Apigee se významně podílela na tom, že zákazníci společnosti Equinix mohou bezpečně propojovat připojení, která potřebují pro své podnikání, a identifikovat a zmírňovat bezpečnostní rizika a hrozby. S rostoucím provozem API roste i množství času potřebného k zabezpečení API. Mít komplexní softwarové nástroje v jedné spravované platformě vám poskytuje vysoce výkonné a bezpečné řešení.
Apigee z platformy Google Cloud Platform
Chcete-li se dozvědět více o tom, jak vám Apigee a Google Cloud mohou pomoci využít poznatky k získání významné obchodní výhody, můžete kontaktovat oficiálního partnera Google Cloud Premier Partner – Cloudfresh.
Tým Cloudfresh je jedinečným centrem odborných znalostí pro služby Google Cloud, Zendesk a Asana. Pro tyto produkty vám můžeme poskytnout následující služby:
- Přizpůsobení;
- Vývoj;
- Integrace;
- Školení;
- Licence;
- Podpora.
Naši specialisté vám pomohou optimalizovat vaši IT infrastrukturu, vyvinou integrace pro lepší interoperabilitu systémů a pomohou vám vytvořit zcela nové struktury a procesy pro vaše týmy, zatímco naše centrum podpory vám poskytne ty nejlepší zákaznické zkušenosti!