2023 ರಲ್ಲಿ API ಭದ್ರತೆಗೆ ಮಾರ್ಗದರ್ಶಿ
ಪರಿಚಯ
API ಆರ್ಥಿಕತೆ ಎಂದರೇನು?
ವೆಬ್ API ಭದ್ರತೆ
- REST (ಪ್ರಾತಿನಿಧಿಕ ರಾಜ್ಯ ವರ್ಗಾವಣೆ).
REST API ಭದ್ರತೆ
SOAP API, ಭದ್ರತೆ
SOAP API ಗಳು ವೆಬ್ ಸೇವೆಗಳ ಭದ್ರತೆ (WS ಭದ್ರತೆ) ಎಂಬ ಅಂತರ್ನಿರ್ಮಿತ ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನವನ್ನು ಒದಗಿಸುತ್ತವೆ. ಅವರು ದೃಢೀಕರಣ ಮತ್ತು ಅಧಿಕಾರವನ್ನು ಪರಿಶೀಲಿಸುತ್ತಾರೆ. ಅವರು XML ಎನ್ಕ್ರಿಪ್ಶನ್, XML ಸಹಿಗಳು ಮತ್ತು SAML ಟೋಕನ್ಗಳನ್ನು ಬಳಸುತ್ತಾರೆ.
ವೆಬ್ ಸೇವೆಗಳನ್ನು ಪ್ರಮಾಣೀಕರಿಸಲು ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು SOAP ಸರಿಯಾದ ವಿಧಾನವಾಗಿದೆ. REST ಗಿಂತ ಸೋಪ್ ಉತ್ತಮ ಪರ್ಯಾಯವಾಗಿದೆ.
SOAP XML ಗೆ ಮಿತಿಗೊಳಿಸುತ್ತದೆ ಆದರೆ REST ಯಾವುದೇ ಡೇಟಾ ಸ್ವರೂಪವನ್ನು ನಿರ್ವಹಿಸಬಹುದು. XML ಗಿಂತ JSON ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸುಲಭವಾಗಿದೆ. ಡೇಟಾ ಸಾಗಣೆಗಾಗಿ REST ಬಳಕೆಯು ಕಂಪ್ಯೂಟರ್ ಮೂಲಸೌಕರ್ಯ ವೆಚ್ಚದಲ್ಲಿ ಹಣವನ್ನು ಉಳಿಸುತ್ತದೆ.
API ನಿರ್ವಹಣೆ
API ನಿರ್ವಹಣೆ ವ್ಯವಹಾರಗಳಿಗೆ ತಮ್ಮ ಡಿಜಿಟಲ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಮಾಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
API ಭದ್ರತೆಯನ್ನು ನಿರ್ವಹಿಸಲು ಕೆಲವು ವಿಧಾನಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ:
1. ದೃಢೀಕರಣ
HTTP ಮೂಲ ದೃಢೀಕರಣವು API ಗೇಟ್ವೇ ಮೂಲಕ ದೃಢೀಕರಿಸಲು ಕ್ಲೈಂಟ್ಗೆ ಒಂದು ವಿಧಾನವಾಗಿದೆ.
2. OAuth2.0 ದೃಢೀಕರಣ
- ಬಳಕೆದಾರಹೆಸರು ಪಾಸ್ವರ್ಡ್ ಹರಿವು: ಅಲ್ಲಿ ಪ್ರೋಗ್ರಾಂ ಬಳಕೆದಾರರ ರುಜುವಾತುಗಳಿಗೆ ನೇರ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದೆ.
- ವೆಬ್ ಸರ್ವರ್ ಹರಿವು: ಅಲ್ಲಿ ಸರ್ವರ್ ಗ್ರಾಹಕರ ರಹಸ್ಯವನ್ನು ರಕ್ಷಿಸುತ್ತದೆ.
- ಬಳಕೆದಾರ-ಏಜೆಂಟ್ ಹರಿವು: ಗ್ರಾಹಕ ರಹಸ್ಯವನ್ನು ಸಂಗ್ರಹಿಸಲು ಸಾಧ್ಯವಾಗದ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಬಳಸಲಾಗುತ್ತದೆ.
3. JSON ವೆಬ್ ಟೋಕನ್ ದೃಢೀಕರಣ
JWT ಟೋಕನ್ JSON ಆಬ್ಜೆಕ್ಟ್ ಆಗಿದೆ ಮತ್ತು ಬೇಸ್64 ಅನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಹಂಚಿದ ಕೀಲಿಯೊಂದಿಗೆ ಸಹಿ ಮಾಡಲಾಗಿದೆ. ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಬಳಕೆದಾರರು ಮಾತ್ರ ಅನನ್ಯ ಟೋಕನ್ ಅನ್ನು ರಚಿಸಬಹುದು ಎಂದು JWT ಖಚಿತಪಡಿಸುತ್ತದೆ. JWT ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ. ಟೋಕನ್ಗೆ ಪ್ರವೇಶ ಹೊಂದಿರುವ ಯಾರಾದರೂ ಡೇಟಾವನ್ನು ಪಡೆಯುತ್ತಾರೆ.
JWT ಯ ಪ್ರಯೋಜನಗಳು
- ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲು ಅಗತ್ಯವಿರುವ ಎಲ್ಲಾ ಮಾಹಿತಿಯನ್ನು ಟೋಕನ್ ಒಳಗೊಂಡಿದೆ.
- ಕೇಂದ್ರೀಕೃತ ದೃಢೀಕರಣ ಸರ್ವರ್ಗಳು ಮತ್ತು ಡೇಟಾಬೇಸ್ಗಳನ್ನು ಅವಲಂಬಿಸುವುದನ್ನು ತಪ್ಪಿಸುವುದು ಸುಲಭ.
- ಪರಿಶೀಲನೆಯು ಸಹಿಯನ್ನು ಮತ್ತು ಹಲವಾರು ಇತರ ಅಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು ಒಳಗೊಳ್ಳುತ್ತದೆ.
- JWT ಒಂದು ಮಧ್ಯಮ-ಜೀವಿತಾವಧಿಯ ಟೋಕನ್ ಆಗಿದ್ದು, ಕೆಲವು ವಾರಗಳಿಂದ ದೀರ್ಘಾವಧಿಯವರೆಗೆ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಮುಕ್ತಾಯ ದಿನಾಂಕ
- ಸಮಕಾಲೀನ ವೆಬ್ ಸರ್ವರ್ ಹಾರ್ಡ್ವೇರ್ನಲ್ಲಿ ಸ್ಕೇಲೆಬಿಲಿಟಿ ಸುಲಭ...
4. HTTP ಸಹಿಗಳು
JWT ಯಲ್ಲಿ, ದೃಢೀಕರಣ ಹೆಡರ್ ಬೇಸ್ 64 ಅನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಿದೆ ಮತ್ತು ಸಹಿ ಮಾಡಿದೆ. ಯಾರಾದರೂ JWT ಟೋಕನ್ ಮತ್ತು ವಿನಂತಿಯನ್ನು ಪಡೆದರೆ, ಅವರು HTTP ವಿನಂತಿಯ ದೇಹವನ್ನು ನವೀಕರಿಸಬಹುದು. HTTP ಸಹಿಗಳು ಕ್ಲೈಂಟ್ಗೆ HTTP ಸಂದೇಶಕ್ಕೆ ಸಹಿ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಆದ್ದರಿಂದ, ಆ ಇತರರು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ವಿನಂತಿಯನ್ನು ಸ್ಪರ್ಶಿಸಬಹುದು.
Amazon, Facebook ಮತ್ತು Google HTTP ಸಹಿಗಳನ್ನು ಬಳಸುತ್ತವೆ. 2016 ರಲ್ಲಿ, HTTP ಸಂದೇಶಗಳಿಗೆ ಸಹಿ ಮಾಡುವುದು ಆಚರಣೆಗೆ ಬಂದಿತು. ಇದು ಪ್ರಗತಿಯಲ್ಲಿರುವ ನಿರ್ದಿಷ್ಟ ವಿವರಣೆಯಲ್ಲಿ ಹೊಸ ಕೆಲಸವಾಗಿದೆ. ಈ ನಿರ್ದಿಷ್ಟತೆಯ ಪ್ರಕಾರ, ಎಂಡ್-ಟು-ಎಂಡ್ ಸಂದೇಶದ ಸಮಗ್ರತೆಯ ಉದ್ದೇಶಕ್ಕಾಗಿ, HTTP ಸಂದೇಶಕ್ಕೆ ಸಹಿ ಮಾಡುವ ಪ್ರಯೋಜನ. ಕ್ಲೈಂಟ್ ಅನೇಕ ಲೂಪ್ಗಳ ಅಗತ್ಯವಿಲ್ಲದೇ ಅದೇ ಕಾರ್ಯವಿಧಾನದೊಂದಿಗೆ ದೃಢೀಕರಿಸಬಹುದು.
API ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು
ನಾವು ದಿನನಿತ್ಯ ಬಳಸುವ ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಅತ್ಯಂತ ಸಾಮಾನ್ಯ ಮತ್ತು ಕಪಟ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಮೇಲೆ OWASP ಯಾವಾಗಲೂ ಗೊ-ಟು ಪ್ರಾಧಿಕಾರವಾಗಿದೆ ಮತ್ತು ಇದು ಶ್ರೀಮಂತ ಡೇಟಾದಿಂದ ಬ್ಯಾಕಪ್ ಆಗಿದೆ.
ಸಂಸ್ಥೆಗಳು ಶ್ರಮಿಸಬೇಕಾದ ಯಾವುದೇ ಬೇಸ್ಲೈನ್ ಇದ್ದರೆ, ಅದು ಇದನ್ನು ಜಯಿಸುತ್ತದೆ OWASP API ಸೆಕ್ಯುರಿಟಿ ಟಾಪ್ 10 ಅನ್ನು ಕೆಳಗೆ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ.
OWASP API ಸೆಕ್ಯುರಿಟಿ ಟಾಪ್ 1O
API1: ಬ್ರೋಕನ್ ಆಬ್ಜೆಕ್ಟ್ ಮಟ್ಟದ ದೃಢೀಕರಣ
API2: ಮುರಿದ ದೃಢೀಕರಣ
API3: ಮಿತಿಮೀರಿದ ಡೇಟಾ ಮಾನ್ಯತೆ
API4: ಸಂಪನ್ಮೂಲ ಕೊರತೆ ಮತ್ತು ದರ ಮಿತಿ
API5: ಬ್ರೋಕನ್ ಫಂಕ್ಷನ್ ಮಟ್ಟದ ದೃಢೀಕರಣ
API6: ಸಾಮೂಹಿಕ ನಿಯೋಜನೆ
API7: ಭದ್ರತಾ ತಪ್ಪು ಸಂರಚನೆ
API8: ಇಂಜೆಕ್ಷನ್
API9: ಅಸಮರ್ಪಕ ಆಸ್ತಿ ನಿರ್ವಹಣೆ
API10: ಸಾಕಷ್ಟು ಲಾಗಿಂಗ್ ಮತ್ತು ಮಾನಿಟರಿಂಗ್
API ಭದ್ರತೆ ಅತ್ಯುತ್ತಮ ಅಭ್ಯಾಸಗಳು
API ಭದ್ರತೆಯನ್ನು ಸುಧಾರಿಸಲು ಕೆಲವು ಸಾಮಾನ್ಯ ವಿಧಾನಗಳು ಇಲ್ಲಿವೆ:
- ನಿಮ್ಮ ದುರ್ಬಲತೆಗಳನ್ನು ಸ್ಥಾಪಿಸಿ.
ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್, ನೆಟ್ವರ್ಕ್ ಮತ್ತು API ಘಟಕಗಳನ್ನು ನವೀಕರಿಸುವ ಅವಶ್ಯಕತೆಯಿದೆ. ದಾಳಿಕೋರರು ನಿಮ್ಮ API ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುವ ನ್ಯೂನತೆಗಳಿಗಾಗಿ ನೋಡಿ. ಸ್ನಿಫರ್ಗಳು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಡೇಟಾ ಸೋರಿಕೆಯನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತದೆ.
- ಕೋಟಾ ಮತ್ತು ಥ್ರೊಟ್ಲಿಂಗ್ ಅನ್ನು ಇರಿಸಿ.
ನಿಮ್ಮ API ಗಳು ಎಷ್ಟು ಬಾರಿ ಕರೆ ಮಾಡುತ್ತವೆ ಮತ್ತು ಇತಿಹಾಸದಲ್ಲಿ ಬಳಕೆಯನ್ನು ಪರಿಶೀಲಿಸಿ ಎಂಬುದಕ್ಕೆ ಕೋಟಾವನ್ನು ಇರಿಸಿ. API ಯ ದುರುಪಯೋಗವನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಕರೆಗಳ ಸ್ಪೈಕ್ ಮೂಲಕ ತೋರಿಸಲಾಗುತ್ತದೆ.
- ನಿಮ್ಮ API ಗೆ ಸಂಪರ್ಕಿಸಲು API ಗೇಟ್ವೇ ಬಳಸಿ.
API ಗೇಟ್ವೇಗಳು API ಟ್ರಾಫಿಕ್ಗೆ ಪ್ರಾಥಮಿಕ ಜಾರಿ ಕೇಂದ್ರವಾಗಿದೆ. ನಿಮ್ಮ API ಗಳು ಹೇಗೆ ಪ್ರಮಾಣೀಕರಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ನಿಯಂತ್ರಿಸಲು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
- ಟೋಕನ್ಗಳನ್ನು ಬಳಸಿ.
ವಿಶ್ವಾಸಾರ್ಹ ಗುರುತುಗಳನ್ನು ರಚಿಸಿ. ಸೇವೆಗಳು ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿಯಂತ್ರಿಸಲು ಆ ಗುರುತುಗಳೊಂದಿಗೆ ಟೋಕನ್ಗಳನ್ನು ಬಳಸಿ.
- ಗೂಢಲಿಪೀಕರಣ ಮತ್ತು ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಬಳಸಿ.
TLS ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಡೇಟಾವನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿ. ಅಧಿಕೃತ ವ್ಯಕ್ತಿಗಳು ಮಾತ್ರ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು ಸಂಪಾದಿಸುತ್ತಾರೆ ಎಂಬುದನ್ನು ಪರಿಶೀಲಿಸಲು ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ಬಳಸಿ.
- ಭದ್ರತೆಯತ್ತ ಗಮನ ಹರಿಸಿ.
API ಗಳನ್ನು ಎಂದಿಗೂ ಪ್ರಾಸಂಗಿಕವೆಂದು ಪರಿಗಣಿಸಬಾರದು. API ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸಲು ವಿಫಲವಾದ ಮೂಲಕ ಸಂಸ್ಥೆಗಳು ಹೆಚ್ಚಿನದನ್ನು ಕಳೆದುಕೊಳ್ಳುತ್ತವೆ. ಪರಿಣಾಮವಾಗಿ, ಭದ್ರತೆಯನ್ನು ಆದ್ಯತೆಯನ್ನಾಗಿ ಮಾಡಿ ಮತ್ತು ಅದನ್ನು ನಿಮ್ಮ API ಗಳಲ್ಲಿ ಸೇರಿಸಿ.
- ಇನ್ಪುಟ್ ಅನ್ನು ಮೌಲ್ಯೀಕರಿಸಿ.
ಡೇಟಾವನ್ನು ಮೊದಲು ಪರಿಶೀಲಿಸದೆ API ಮೂಲಕ ಎಂಡ್ಪಾಯಿಂಟ್ಗೆ ಎಂದಿಗೂ ರವಾನಿಸಬೇಡಿ.
- ದರ ಮಿತಿಯನ್ನು ಬಳಸಿಕೊಳ್ಳಿ.
ನಂತರ ವಿನಂತಿಗಳನ್ನು ಸೀಮಿತಗೊಳಿಸುವುದು ಸೇವೆಯ ನಿರಾಕರಣೆ ದಾಳಿಗಳನ್ನು ತಡೆಯಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
- ದೃಢವಾದ ದೃಢೀಕರಣ ಮತ್ತು ದೃಢೀಕರಣ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸಿ.
API ಗಳು ದೃಢೀಕರಣವನ್ನು ಜಾರಿಗೊಳಿಸದಿದ್ದಾಗ, ಮುರಿದ ದೃಢೀಕರಣವು ಸಂಭವಿಸುತ್ತದೆ.
OAuth2.0 ಮತ್ತು OpenID ಕನೆಕ್ಟ್ನಂತಹ ಉತ್ತಮವಾಗಿ ಸ್ಥಾಪಿತವಾಗಿರುವ ಲಾಗಿನ್ ಮತ್ತು ದೃಢೀಕರಣ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಿ.
