Как обезопасить свой API с помощью Apigee и Google Cloud Armor
Представляем улучшенные функции безопасности Apigee Advanced API для Google Cloud
Интерфейсы программного интерфейса (API) используются организациями по всему миру, чтобы облегчить и стандартизировать процессы предоставления услуг и передачи данных для создания качественного цифрового опыта.
Увеличение объемов цифровых продуктов привело к распространению использования API и увеличению объемов трафика. Однако с ростом количества кибератак на API, безопасность API и чувствительных данных через программные интерфейсы стала важным фактором борьбы с бизнес-рисками.
Чтобы помочь клиентам легче удовлетворить их растущие потребности в безопасности API, Google Cloud объявляет о расширении безопасности API, комплексном наборе возможностей безопасности API, созданных на инструментах Apigee платформе управления API. Advanced API Security позволяет организациям легче обнаруживать угрозы безопасности. Более подробный обзор двух ключевых функций, включенных в этот запуск: определение неправильных конфигураций API и обнаружение ботов.
Определите неправильные конфигурации API
Неправильно настроенные API являются одной из основных причин инцидентов безопасности API. В 2017 году компания Gartner® предсказала, что к 2022 году злоупотребление API станет самым распространенным вектором атак, что приведет к утечке данных для корпоративных веб-приложений. Было обнаружено, что неправильная конфигурация является основной причиной утечки данных, и что «много облачных API и интерфейсов для адекватного управления» часто являются основной точкой атаки во время кибератак.
Хотя обнаружение и устранение неправильных конфигураций API является главным приоритетом для многих организаций, процесс управления конфигурацией может занять много времени и значительных ресурсов.
Расширенная безопасность API может облегчить командам API идентификацию прокси API, не соответствующих стандартам безопасности. Чтобы помочь выявить API, которые неправильно настроены или подвергаются злоупотреблениям, Advanced API Security регулярно оценивает управляемые API и предоставляет командам API рекомендуемые действия, когда обнаруживаются проблемы с конфигурацией.
API является неотъемлемой частью цифровой экосистемы, которая обеспечивает бесперебойную работу современной медицины для пациентов и медицинского персонала. Один из распространенных случаев использования API здравоохранения возникает, когда организация здравоохранения вводит информацию о медицинском страховании пациента в систему, работающую со страховыми компаниями. Почти мгновенно эта система определяет возможность доступа пациента к конкретным лекарствам и процедурам, которые данные о которых передаются через API. Из-за передаваемых конфиденциальных личных данных важно, чтобы необходимые политики аутентификации и авторизации были реализованы, чтобы только авторизованные пользователи, например страховая компания, имели доступ к API.
Advanced API Security может выявить случаи, когда необходимые политики безопасности не были применены и предоставить уведомления о таких случаях, что может помочь значительно снизить риски безопасности API. Используя расширенную безопасность API, команды API в различных организациях могут легче выявлять проблемы с неправильной конфигурацией и уменьшать риски безопасности конфиденциальной информации.
Обнаружение ботов
Из-за увеличения объема трафика API также растет киберпреступность в форме атак API-ботов — автоматизированных программ, разворачивающихся в Интернете со злонамеренными целями, как кража личных данных.
Расширенная безопасность API использует предварительно настроенные правила, чтобы помочь командам API легче обнаруживать вредоносных и вредоносных ботов в трафике API. Каждое правило представляет разный тип необычного трафика с одного IP-адреса. Если шаблон трафика API соответствует любому из правил, Advanced API Security сообщает об этом в качестве бота.
Кроме того, расширенная безопасность API может ускорить процесс обнаружения нарушений данных путем обнаружения ботов, успешно давших код ответа HTTP 200 OK.
API банков и финансовых учреждений часто становятся объектами атак вредоносных ботов из-за высокой ценности обрабатываемых данных. Банк или финансовое учреждение, принявшее открытые банковские стандарты, сделав API доступными для клиентов и партнеров, может использовать Advanced API Security, чтобы упростить анализ моделей трафика и выявить источники вредоносного трафика. Вы можете столкнуться с этим, когда ваш банк позволяет получить доступ к вашим данным с помощью программы третьей стороны. Хотя злонамеренный хакер может попытаться использовать бота для доступа к этой информации, расширенная безопасность API может помочь группе API банка выявить и остановить злонамеренную деятельность бота в трафике API.
Безопасность API на примере Equinix
Компания Equinix поддерживает мировых цифровых лидеров, управляя глобальной сетью из более чем 240 центров обработки данных со временем бесперебойной работы 99,999%, чтобы улучшить глобальные взаимосвязи для организаций, сэкономить время и усилия с помощью платформы управления Apigee API.
«Основным фактором нашего успеха является Apigee от Google, который безопасно и быстро предоставляет услуги цифровой инфраструктуры нашим клиентам и партнерам», — сказал Юн Фрейнд, старший вице-президент платформы Equinix.
Безопасность является ключевым элементом стратегии API-first, и Apigee сыграл важную роль в том, чтобы клиенты Equinix могли безопасно создать соединения, необходимые для их бизнеса, чтобы идентифицировать и снизить риски и угрозы безопасности. Поскольку трафик API растет, количество времени, необходимое для защиты API, также растет. Наличие сквозных программных инструментов на одной управляемой платформе предоставляет компании высокоэффективное и безопасное решение.
Apigee от Google Cloud Platform
Чтобы узнать больше о том, как Google Cloud может помочь вам использовать информацию для получения значительных преимуществ в бизнесе, вы можете обратиться к официальному премьер-партнеру Google Cloud — Cloudfresh.
Команда Cloudfresh — это уникальный экспертный центр для Google Cloud, Zendesk и Asana. Для этих продуктов мы можем предоставить вам следующие услуги:
- Настройка;
- Разработка;
- Интеграция;
- Подготовка;
- Лицензия;
- Поддержка.
Наши специалисты помогут вам оптимизировать вашу ИТ-инфраструктуру, разработать интеграцию для лучшей совместимости систем, а также помогут создать совершенно новые структуры и процессы для ваших команд, а наш центр поддержки предоставит вам лучший клиентский опыт!