雲端計算安全漏洞及其對策(二)

語言: CN / TW / HK

theme: orange

持續創作,加速成長!這是我參與「掘金日新計劃 · 6 月更文挑戰」的第23天,點選檢視活動詳情

🤞 個人主頁:@青Cheng序員石頭

上雲後,是否不確定如何保護自己免受雲端計算安全漏洞的影響?

不安全的API

應用程式使用者介面(API)旨在簡化雲端計算流程。然而,如果不安全,API就會為攻擊者利用雲資源開啟通訊線路。

Gartner估計,到2022年,API將成為攻擊者更頻繁使用的針對企業應用資料的威脅載體。最近的一項研究還顯示,三分之二的企業將其API暴露給公眾,以便外部開發者和商業夥伴可以訪問軟體平臺。該研究還表明,一個企業通常平均處理363個API,近61%的公司報告他們的業務戰略依賴於API整合。隨著對API的依賴性越來越大,攻擊者已經找到了利用不安全的API進行惡意活動的常見方法,下面是兩個例子。

不適當的認證。通常情況下,開發人員建立的API沒有適當的認證控制。因此,這些API對網際網路完全開放,任何人都可以使用它們來訪問企業資料和系統。 不充分的授權。太多的開發者不認為攻擊者會看到後端的API呼叫,也不把適當的授權控制放在位。如果不這樣做,後端資料的破壞是微不足道的。

那如何防止不安全的API?鼓勵開發者在設計API時採用強認證、加密、活動監控和訪問控制。API必須是安全的。進行滲透測試,複製針對你的API端點的外部攻擊,並獲得安全程式碼審查。最好是確保你有一個安全的軟體開發生命週期(SDLC),以確保你持續開發安全的應用程式和API。另外,考慮對傳輸中的資料使用SSL/TLS加密。利用一次性密碼、數字身份等模式實施多因素認證,以確保強大的認證控制。


少年,沒看夠?點選石頭的詳情介紹,隨便點點看看,說不定有驚喜呢?歡迎支援點贊/關注/評論,有你們的支援是我更文最大的動力,多謝啦!