• <acronym id="gspll"><strong id="gspll"></strong></acronym>

  • <p id="gspll"><strong id="gspll"></strong></p>
  • <p id="gspll"></p>
    <p id="gspll"></p>

    為何要采用應用和API安全一體化戰略?

    來源:F5科技
    作者:F5科技
    時間:2024-01-11
    3094
    了解應用和API安全之間的主要區別,以及為何一體化戰略才是未來的趨勢。了解共同的風險、獨特的挑戰,以及如何結合解決方案來簡化操作和提高響應速度。

    前言:了解應用和API安全之間的主要區別,以及為何一體化戰略才是未來的趨勢。了解共同的風險、獨特的挑戰,以及如何結合解決方案來簡化操作和提高響應速度。

    顯而易見的一點是,應用和API安全變得愈發專業化。API不再僅僅是基于URI的應用入口。API已經發生演變,成為了一種有自身安全需求的獨立實體。

    這些安全需求大多與API交互的性質有關。換言之,API需要按事務進行授權。這點與應用明顯不同,應用通常按會話進行授權。

    API的交互率也較高,并伴有一些其他特點,致使保護API這件事面臨著一些獨特挑戰。

    1704952179030.png

    應用和API的比較,展現了因為哪些不同之處而造成了安全需求差異。

    盡管如此,應用和API也存在著共同的安全風險,在實施安全解決方案時也需要對這些風險加以考慮。例如,最近更新的《2023年十大API安全風險清單》就明確提及了一組與應用共有的次要風險類別:

    身份驗證/授權控制薄弱

    配置錯誤

    業務邏輯濫用(撞庫攻擊或帳戶接管)

    服務端請求偽造(SSRF)

    《2023年十大API安全風險清單》:https://owasp.org/www-project-api-security/

    除了這些風險外,還有大量針對可用性的攻擊,也就是應用和API都會遇到的DDoS攻擊,因為它們通常都依賴于TCP和HTTP,而這兩者都會受到各種旨在破壞訪問和可用性的攻擊。

    為解決保護應用、API和基礎設施(為兩者提供支持)安全挑戰的一種方法是部署多種解決方案:Bot和欺詐防御、DDoS防護、應用安全和API安全。這種做法固然能解決安全挑戰,但也帶來了運營挑戰,使許多安全相關任務變得更加復雜,例如策略變更管理和應對威脅(同時影響應用和API)。復雜性不僅會阻礙安全性,同時也會制約速度。

    根據《2023年應用策略現狀報告》,及時應對新出現的威脅是采用安全即服務的首要驅動因素。每個解決方案都需要修復、更新或部署新策略來緩解新出現的威脅,這種做法不僅耗時,同時也增加了配置錯誤或失誤的幾率。因此,緩解威脅的時間會隨著復雜性的增加而延長,特別是當企業在多個環境(混合IT)中運行并利用每個環境的安全解決方案時。使用數學公式來計算時間是線性還是指數增長其實毫無意義,原因在于時間的延長對應對迫在眉睫的威脅本身就是一種最大的阻礙。

    因此,更妥善的一種方法是將解決方案結合起來,從而共享操作和安全管理,獲得專門應對威脅的功能,同時允許采用特定的安全策略來處理應用和API特有的協議和有效負載。

    這就需要制定應用和API安全一體化戰略,在共享通用功能的同時,可以提高應用或API的粒度和專業性。究其根本,Bot對數據質量、交付成本及對應用和API風險狀況帶來的影響會成為一類問題。DDoS同樣如此。為解決同樣的問題而部署雙倍數量的服務,在所有衡量標準中都不能稱之為高效。

    無論是從運營層面,還是從經濟和架構層面來看,采用應用和API安全一體化戰略都不失為一項明智之舉。

    立即登錄,閱讀全文
    原文鏈接:點擊前往 >
    文章來源:F5科技
    版權說明:本文內容來自于F5科技,本站不擁有所有權,不承擔相關法律責任。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯系管理員(zzx@kchuhai.com)刪除!
    掃碼登錄
    打開掃一掃, 關注公眾號后即可登錄/注冊
    加載中
    二維碼已失效 請重試
    刷新
    賬號登錄/注冊
    個人VIP
    小程序
    快出海小程序
    公眾號
    快出海公眾號
    商務合作
    商務合作
    投稿采訪
    投稿采訪
    出海管家
    出海管家
    一女4P三黑人免费视频_成年男女免费视频网站无毒_纯肉无遮挡日本动漫视频在线观看_五月天久久久噜噜噜久久

  • <acronym id="gspll"><strong id="gspll"></strong></acronym>

  • <p id="gspll"><strong id="gspll"></strong></p>
  • <p id="gspll"></p>
    <p id="gspll"></p>