Як убезпечити свій API за допомогою Apigee і Google Cloud Armor
Представляємо покращені функції безпеки Apigee Advanced API для Google Cloud
Інтерфейси програмного інтерфейсу (API) використовуються організаціями по всьому світу, щоб полегшити та стандартизувати процеси надання послуг і передачу даних для створення якісного цифрового досвіду.
Збільшення обсягів цифрових продуктів призвело до розповсюдження використання API та зростання обсягів трафіку. Однак із зростанням кількості кібератак на API, безпека API та чутливих даних через програмні інтерфейси стала важливим фактором боротьби з бізнес-ризиками.
Щоб допомогти клієнтам легше задовольнити їхні зростаючі потреби в безпеці API, Google Cloud оголошує про розширення безпеки API, комплексного набору можливостей безпеки API, створених на інструментах Apigee платформі по керування API. Advanced API Security дозволяє організаціям легше виявляти загрози безпеці. Ось більш детальний огляд двох ключових функцій, включених у цей запуск: визначення неправильних конфігурацій API та виявлення ботів.
Визначте неправильні конфігурації API
Неправильно налаштовані API є однією з основних причин інцидентів безпеки API. У 2017 році компанія Gartner® передбачила, що до 2022 року зловживання API стане найпоширенішим вектором атак, що призведе до витоку даних для корпоративних веб-додатків. Було виявлено, що неправильна конфігурація є основною причиною витоку даних, і що «забагато хмарних API та інтерфейсів для адекватного керування» часто є основною точкою атаки під час кібератак.
Хоча виявлення та усунення неправильних конфігурацій API є головним пріоритетом для багатьох організацій, процес керування конфігурацією може зайняти багато часу та витрат значних ресурсів.
Розширена безпека API може полегшити командам API ідентифікацію проксі API, які не відповідають стандартам безпеки. Щоб допомогти виявити API, які неправильно налаштовані або зазнають зловживань, Advanced API Security регулярно оцінює керовані API та надає командам API рекомендовані дії, коли виявляються проблеми з конфігурацією.
API є невід’ємною частиною цифрової екомистеми, яка забезпечує безперебійну роботу сучасної медицини для пацієнтів і медичного персоналу. Один з поширених випадків використання API охорони здоров’я виникає, коли організація охорони здоров’я вводить інформацію про медичне страхування пацієнта в систему, яка працює зі страховими компаніями. Майже миттєво ця система визначає охоплення пацієнта конкретним ліками чи процедурою, процес, який увімкнено API. Через конфіденційні особисті дані, які передаються, важливо, щоб необхідні політики аутентифікації та авторизації були реалізовані, щоб лише авторизовані користувачі, наприклад страхова компанія, мали доступ до API.
Advanced API Security може виявити випадки, коли необхідні політики безпеки не були застосовані та надати сповіщення про такий випадок, що може допомогти значно зменшити ризики безпеки API. Використовуючи розширену безпеку API, команди API в різних організаціях можуть легше виявляти проблеми з неправильною конфігурацією та зменшувати ризики для безпеки конфіденційної інформації.
Виявлення ботів
Через збільшення обсягу трафіку API також зростає кіберзлочинність у формі атак API-ботів — автоматизованих програм, що розгортаються в Інтернеті зі зловмисною метою, як-от крадіжка особистих даних.
Розширена безпека API використовує попередньо налаштовані правила, щоб допомогти командам API легше виявляти зловмисних і шкідливих ботів у трафіку API. Кожне правило представляє різний тип незвичного трафіку з однієї IP-адреси. Якщо шаблон трафіку API відповідає будь-якому з правил, Advanced API Security повідомляє про це як бота.
Крім того, розширена безпека API може пришвидшити процес виявлення порушень даних шляхом виявлення ботів, які успішно дали код відповіді HTTP 200 OK.
API банків та фінансових установ часто стають об’єктами атак зловмисних ботів через високу цінність даних, які обробляються. Банк або фінансова установа, яка прийняла відкриті банківські стандарти, зробивши API доступними для клієнтів і партнерів, може використовувати Advanced API Security, щоб спростити аналіз моделей трафіку та виявити джерела зловмисного трафіку. Ви можете зіткнутися з цим, коли ваш банк дозволяє отримати доступ до ваших даних за допомогою програми третьої сторони. Хоча зловмисний хакер може спробувати використати бота для доступу до цієї інформації, розширена безпека API може допомогти групі API банку виявити та зупинити зловмисну діяльність бота в трафіку API.
Безпека API на прикладі Equinix
Компанія Equinix підтримує світових цифрових лідерів, керуючи глобальною мережею з понад 240 центрів обробки даних із часом безперебійної роботи 99,999%, щоб покращити глобальні взаємозв’язки для організацій, заощадити час і зусилля за допомогою платформи керування Apigee API.
«Основним фактором нашого успіху є Apigee від Google, який безпечно та швидко надає послуги цифрової інфраструктури нашим клієнтам і партнерам», — сказав Юн Фройнд, старший віце-президент платформи Equinix.
Безпека є ключовим елементом стратегії API-first, і Apigee відіграв важливу роль у тому, щоб клієнти Equinix могли безпечно створити з’єднання, необхідні для їхнього бізнесу, щоб ідентифікувати та зменшити ризики та загрози безпеці. Оскільки трафік API зростає, кількість часу, необхідного для захисту API, також зростає. Наявність наскрізних програмних інструментів на одній керованій платформі надає компанії високоефективне та безпечне рішення.
Apigee від Google Cloud Platform
Щоб дізнатися більше про те, як Google Cloud допоможе вам використовувати інформацію для отримання значних переваг у бізнесі, ви можете звернутися до офіційного прем’єр-партнера Google Cloud — Cloudfresh.
Команда Cloudfresh – це унікальний експертний центр для Google Cloud, Zendesk та Asana. Для цих продуктів ми можемо надати наступні послуги:
- Налаштування;
- Розробка;
- Інтеграція;
- Підготовка;
- Ліцензія;
- Підтримка.
Наші фахівці допоможуть вам оптимізувати вашу ІТ-інфраструктуру, розробити інтеграцію для кращої сумісності систем, а також допоможуть створити абсолютно нові структури та процеси для ваших команд, а наш центр підтримки надасть вам найкращий клієнтський досвід!