header-logo

인공지능 기반 마케팅 커뮤니케이션

면책 조항: 아래 표시된 텍스트는 타사 번역 도구를 사용하여 다른 언어에서 자동 번역되었습니다.


API 보안을 최대화하는 방법

Jul 15, 2022 8:46 AM ET

API(응용 프로그래밍 인터페이스)는 외부 간섭, 특히 사이버 범죄 공격의 위협이 증가함에 따라 매우 취약합니다.

API 공급자는 보안 인식 교육을 제공하고 모범 사례를 구현함으로써 잠재적인 취약성으로부터 사용자를 보호할 수 있습니다.

다음은 회사의 보안 인식 교육에 포함할 수 있는 최고의 API 모범 사례입니다.

타사 ID 공급자(IdP) 사용

타사 ID 공급자(IdPs)를 통해 API의 권한 부여를 위임하는 것이 보안을 최대화하는 가장 좋은 방법입니다. 이 작업은 OAuth와 같은 공급자를 사용하여 모든 API 책임을 위임합니다. 또한 이러한 공급자는 API에 대해 수만 개의 암호를 기억하는 메커니즘을 제공합니다.

예를 들어 웹 사이트에 등록하고 인증을 관리하는 타사 서버인 모든 웹 사이트에 대한 계정을 만드는 대신 Google, Facebook 또는 Apple을 사용하여 로그인할 것인지 묻는 메시지가 표시된다고 가정해 보겠습니다.

이 프로세스는 자격 증명을 공개할 필요가 없으며 API 공급자가 권한 부여 데이터를 보호할 책임이 없으므로 소비자를 보호합니다.

TLS(전송 계층 보안) 암호화 사용

일부 조직에서는 모든 API 데이터를 암호화할 필요가 없을 수 있습니다. 이 데이터는 민감하지 않은 것으로 간주될 수 있지만 로그인 자격 증명, 주민등록번호, 은행 또는 신용 카드 정보와 같은 민감한 데이터 교환에서 API 거래를 하는 다른 조직에서는 TLS 암호화를 최우선 순위로 고려해야 합니다.

암호화는 내부 및 외부 회사 통신을 보호하기 위해 정보를 코드로 변환합니다. 최신 버전을 사용하는 단방향 TLS 암호화 또는 상호 암호화는 최대 API 보안을 보장합니다.

모니터링은 매우 중요합니다.

모니터링은 조직에서 API 보안에 사용하는 도구에 관계없이 중요할 수 있습니다. 이것은 주로 높은 수준의 경계와 실시간으로 오류를 신속하게 해결할 수있는 능력을 포함합니다. 서버에 관련 정보를 감사하고 적절하게 기록하고 추적 된 기록을 합리적인 시간 동안 유지하여이 작업을 수행 할 수 있습니다. 로그는 또한 의심스러운 것을 분명히합니다. 그런 다음 조직은 인시던트가 발생할 경우 이러한 로그를 리소스로 사용할 수 있습니다.

일반 대중을 위한 것이 아닌 모든 정보 제거

API는 대부분 개발자를 위한 것입니다. 따라서 개발자가 상호 작용할 수 있도록 API를 공개적으로 사용할 수있게되기 전에 제거해야하는 암호, 키 및 기타 정보가 포함 된 경우가 많습니다. 종종 프런트 엔드 보안이 우선 순위이지만 사이버 범죄자는 보안 위반을 실행하기 위해 백엔드의 약점을 식별하기 위해 초과 근무를하게됩니다.

이것을 간과하는 것은 큰 실수입니다. 대신 검색 도구를 개발, 보안 및 운영 프로세스에 통합하면 중요한 데이터의 우발적 인 노출을 제한 할 수 있습니다.

최종 생각

API는 최신 응용 프로그램을 빌드하는 데 선호되는 도구가되었습니다. 공개적으로 사용 가능한 정보를 프로그램에 도입하는 것이 새로운 개념은 아니지만 진화하는 경기장은 조직이 공공 용도로 API를 만드는 데 관련된 모든 잠재적 위험에 대한 완전한 평가를 받지 못할 수도 있음을 의미합니다.

좋은 소식은 API 모니터링을 위한 모범 사례에 대한 보안 인식 교육이 비즈니스 보호 유지에 도움이 될 수 있다는 것입니다. 회사의 목표는 API 보안 정책이어야 하며 변화하는 환경에 적응하는 것이어야 합니다.

Contact Information:

Name: Michael Bertini
Email: michael.bertini@iquanti.com
Job Title: Consultant

Tags:   Korean, United States, Wire