Miért fontos az API-k biztonsága?

Az API-k széleskörű elterjedése új biztonsági kockázatok megjelenésével járt. Hogyan védekezhetünk ezek ellen?

Az API-k széleskörű elterjedése új biztonsági kockázatok megjelenésével járt. Hogyan védekezhetünk ezek ellen?

Az API-k előretörése

Az API-k felhasználása lehetővé teszi mások által nyújtott digitális szolgáltatások beépítését saját alkalmazásunkba vagy szolgáltatásunkba. Például nem kell térképek kezelését nulláról lefejlesztenünk, helyette egyszerűen felhasználhatjuk a Google Maps API-ját. A vállalatok nem csak nagy számban használnak fel API-kat, hanem elérhetővé tesznek saját API-kat is az üzleti környezetük számára, legyenek azok ügyfelek, szállítók vagy egyéb partnerek. Manapság az internetforgalom több mint 80%-a valamilyen API-hoz kötődik.

Az egyedi API-któl az API menedzsmentig

Új API-t létrehozni viszonylag könnyű. Ha megvan a szoftverkódunk, ami az adott üzleti funkciót elvégzi, az egyszerűen kiterjeszthető egy API-vá, ami a bejövő megfelelő kérésekre megfelelő adattartalommal válaszol.

API-t jól létrehozni már közel sem olyan könnyű. Gondolnunk kell a hívó fél azonosítására (authentikáció), a jogosultságának ellenőrzésére (authorizáció), a kérés tartalmának formai és tartalmi ellenőrzésére, a kommunikáció megfelelő védelmére, hibakezelésre, az API működésének monitorozására, fizetős szolgáltatás esetén az API használat mérésére és számlázására is.

Az API gateway egy olyan szoftver (vagy ritkábban hardver) elem, ami mindezekben a segítségünkre lehet, egy egységes belépési és kontroll pontot biztosítva valamennyi általunk nyújtott API számára.

Ahogy egyre több API-nk van, egyre fontosabbá válik ezek karbantarthatósága, életciklusuk kezelése, felfedezhetősége, és az őket igénybe vevő alkalmazásfejlesztők életének megkönnyítése a könnyű API fogyaszthatóság biztosításával. Az API menedzsment eszközök ehhez egy szoftver platformot biztosítanak, azonban a megfelelő működés nem csak támogató eszközök kérdése. API menedzsment alatt ezért nem csak eszközöket, hanem az API-kkal kapcsolatos általános megközelítést, a kapcsolódó vállalati üzleti folyamatok, technológiák, szabályok és legjobb gyakorlatok összességét értjük. Az API governance az a gyakorlat, ahogy az API tevékenységeinket szabályozzuk és ezt be is tartatjuk, annak érdekében, hogy API-jaink egységesek, megbízhatóak és biztonságosak legyenek.

API biztonság

Az API-k által nyújtott új lehetőségek sajnos egyben új IT biztonsági kockázatokat is jelentenek. A nem megfelelően védett API-k segítségével a támadók hozzájuthatnak a vállalat adatvagyonához vagy lehetetlenné teszik az üzleti működést. Az API-k fontosságának növekedésével a kockázat üzleti hatása akár végzetes lehet.

Egy valós életből vett példa: egy API biztonsági audit során egy hazai pénzintézetnél találtunk olyan API-t, ami a kérés üzenet manipulálásával sokkal szélesebb adatkört adott vissza, mint amit kellett volna, köztük érzékeny személyes adatokkal. (Megnyugtatásul: az API nem került élesbe, ebben az esetben nem történt adatszivárgás.)

Alkalmazásfejlesztők körében régóta ismert az OWASP non-profit szervezet által kiadott top 10-es lista az alkalmazások biztonsági kockázatairól. Kevésbé ismert, de az OWASP rendszeresen publikál egy kifejezetten API Security Top 10-et is, ami az API-k leggyakoribb támadási módjait és kockázatait és ezek javasolt kivédését tartalmazza. Az API-k biztonsága azonban sokrétű kérdés, szoftverfejlesztői, tesztelői, üzemeltetői, DevOps vonatkozásokkal egyaránt.

IBM & Noname, egy nem éppen névtelen API megoldás

Az IBM évek óta kínál piacvezető API gateway és API menedzsment megoldásokat akár saját adatközpontbeli („on-premise”), akár felhő-szolgáltatónál történő alkalmazásra („SaaS”). Az IBM API Connect csomag lefedi az API életciklus-kezelés minden elemét: API-k tervezése, publikálása egy Developer Portálon egy API katalógusban, az API-k működtetése és védelme, az API forgalom valós idejű elemzése. A megoldás része, de önállóan is elérhető az IBM Datapower API gateway, amivel az API-k biztonságos kiajánlása megvalósítható.


[+]

Az IBM szolgáltatásportfóliója nemrég a Noname Security haladó API védelmi megoldásával is bővült. A Noname elsősorban azon biztonsági területekre fókuszál, amit a hagyományos tűzfalak és gateway-ek már nem nyújtanak:

  • API-k automatikus felderítése és leltárazása: Amiről tudunk, azt tudjuk védeni, de nem ritka, hogy egy vállalatnál régi, már senki által nem számon tartott és felügyelt API-k továbbra is elérhetők maradnak, további támadási felületet jelentve.
  • API konfigurációs hibák automatikus keresése, súlyosság szerinti kiértékelése, javítási tevékenységek kezdeményezése és nyomon követése.
  • API futási biztonság: támadási kísérletek valós idejű detektálása és blokkolása az API forgalom elemzésével.
  • API biztonsági tesztelés automatizálása szimulált rosszindulatú forgalommal és sérülékenységvizsgálattal, akár a CI/CD (folyamatos integráció, folyamatos szállítás) részeként.

A fenti funkcionalitás segítségével az API governance-ban megfogalmazott elméleti kívánt állapot és a ténylegesen megvalósult API működés közötti bármilyen eltérés hamarabb és biztosabban felfedezhető és megszüntethető, jelentősen csökkentve az API-k által jelentett IT biztonséági kockázatot. Az Intalion Rendszerintegrátor Kft. szakértői tevékenysége az API kezelés teljes keresztmetszetét lefedi: a hivatalos IBM Gold partnerként nyújtott rendszerbevezetés és támogatás mellett módszertani tanácsadással és vállalati API governance megalkotásában is segítünk nagy- és középvállalati ügyfeleinknek.

Tóth Bálint, Intalion