小说阅读器,完美世界有声小说,女人书籍排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

API安全的發(fā)展趨勢展望

如今，應(yīng)用程序編程接口(API)已經(jīng)變得非常流行了。各個企業(yè)的應(yīng)用開發(fā)都深度依賴于它們之間的相互調(diào)用，以支持新產(chǎn)品和服務(wù)的按時交付。與此同時，隨著API絕對數(shù)量的增加，在互聯(lián)網(wǎng)絡(luò)上傳遞的數(shù)據(jù)量也正在呈指數(shù)級地增長。

站在用戶的角度思考問題，與客戶深入溝通，找到句容網(wǎng)站設(shè)計與句容網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：做網(wǎng)站、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名申請、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋句容地區(qū)。

不過，這些海量數(shù)據(jù)中，往往會包括諸如：用戶詳細(xì)信息、電子郵件、以及密碼等敏感且隱私的數(shù)據(jù)。例如：通過使用Facebook的某些API(請參見：https://developers.facebook.com/docs/graph-api/)，您完全可以訪問到大量用戶的照片、位置之類詳細(xì)的信息。由于網(wǎng)絡(luò)世界用戶之間的不可見性，這些敏感數(shù)據(jù)很有可能會被非法分子用于多種惡意的用途。因此，我們在日常的應(yīng)用開發(fā)過程中，應(yīng)當(dāng)時刻專注API的安全性，通過安全編碼等技術(shù)手段，構(gòu)建出安全可靠的程序API。

API安全性日益受到關(guān)注

根據(jù)SmartBear最近進(jìn)行的一項研究顯示(該研究發(fā)布了API現(xiàn)狀報告，請參見：

https://smartbear.com/resources/ebooks/the-state-of-api-2019-report/)：

在受訪并給予回應(yīng)的對象中，有41.2%的人認(rèn)為：安全性是他們的API所面對的最大技術(shù)問題，而且是當(dāng)務(wù)之急。他們希望在自己的軟件產(chǎn)品中不要出現(xiàn)與API安全性相關(guān)的漏洞。
在被普遍認(rèn)為需要改善和提高的API相關(guān)領(lǐng)域，安全性排名第四。
有超過40%的API提供者會使用某種工具，來獲悉當(dāng)前API的安全態(tài)勢。他們希望能夠快速且全面地發(fā)現(xiàn)潛在的安全漏洞。

目前，API技術(shù)已經(jīng)滲透到了各個行業(yè)，乃至各種業(yè)務(wù)策略的制定環(huán)節(jié)。其中，最為常見的API當(dāng)屬REST、SOAP、以及ASYNC API。另外，隨著物聯(lián)網(wǎng)的迅速發(fā)展，全新的智能化API也在不斷地涌現(xiàn)。這些API充當(dāng)了智能設(shè)備和互聯(lián)網(wǎng)之間的接口作用。那么，到底API是如何做業(yè)務(wù)趨勢以及深度融合發(fā)揮作用的呢?通過如下三個方面，我們可窺一斑：

為了讓客戶獲得更好的服務(wù)體驗，銀行機構(gòu)正在采用、甚至遷移到API式的敏捷模型中，以實現(xiàn)高效、強適應(yīng)性的金融安全架構(gòu)。
醫(yī)療保健行業(yè)的從業(yè)人員通過各種可用的AP??I，向患者和客戶提供集成化的醫(yī)療保健服務(wù)，并能提高自身產(chǎn)品的互操作性。
零售商正在使用API??為其客戶提供更加智能化的電子商務(wù)平臺，例如：多元化的移動支付應(yīng)用等。

API安全性的當(dāng)前狀態(tài)

當(dāng)前，在互聯(lián)網(wǎng)上，每天通過各種API傳輸?shù)拇罅繑?shù)據(jù)可謂是魚龍混雜。有的是一些公眾性的普通數(shù)據(jù)，有的則是需要通過加密的機密性數(shù)據(jù)。因此，應(yīng)用開發(fā)與維護(hù)人員需要和那些看不見的隱形對手進(jìn)行攻防較量，以確保提前揪出軟件產(chǎn)品中的各種漏洞?？偟恼f來，API的安全性隱患主要集中在如下三個方面：

授權(quán)、認(rèn)證與審核機制(一般通過訪問控制來應(yīng)對)。
訪問量的負(fù)載平衡和速率限制。
通信和網(wǎng)絡(luò)中的數(shù)據(jù)隱私問題(一般通過SSL/TLS來應(yīng)對)。

API的安全展望

根據(jù)本人的開發(fā)與項目實施經(jīng)驗，我大膽地對API的安全性趨勢做出了如下展望，可供您參考與借鑒。

1. DNS安全性(DNSSEC)

在人們運用移動設(shè)備訪問各類APP的時候，大多數(shù)信息都是以未加密的方式，通過無線網(wǎng)絡(luò)進(jìn)行往復(fù)傳輸?shù)模虼怂鼈兒苋菀资艿浇孬@甚至是攻擊。我們需要通過設(shè)置SSL或TLS的連接方式，來確保傳輸數(shù)據(jù)的安全性。當(dāng)前，最新的TLS版本為1.3，而大多數(shù)網(wǎng)站也都能夠通過API的設(shè)計，以HTTPS的方式去加密用戶的各類敏感信息。

同時，由于幾乎所有的網(wǎng)絡(luò)流量都需要進(jìn)行標(biāo)準(zhǔn)的DNS查詢，因此DNS成為了眾矢之的，針對DNS的劫持和中間人攻擊時有發(fā)生。此類攻擊通過將網(wǎng)站的入向流量，重定向到偽造的網(wǎng)站處，進(jìn)而收集到網(wǎng)站用戶的敏感信息，并讓企業(yè)蒙受損失。

與許多互聯(lián)網(wǎng)協(xié)議相同，DNS系統(tǒng)在設(shè)計之初也并未考慮到安全性的相關(guān)問題，并且存在著一些設(shè)計上的限制。而這些限制在面對技術(shù)的快速迭代時，就留下了可乘之機。攻擊者很容易出于惡意目的去劫持DNS的查找請求。例如，他們會將用戶轉(zhuǎn)發(fā)到分發(fā)惡意軟件、或收集個人信息的欺詐性網(wǎng)站上。

下面是DNS劫持的具體流程：

在上述DNS劫持過程中，攻擊者通過惡意軟件、或是對某些未授權(quán)DNS服務(wù)器的修改，來將查詢請求重定向到持有其他域名的服務(wù)器上。也就是說，您本想訪問www.mybank.com，卻實際上來到了www.notmybank.com，而且自己渾然不知。

DNS安全擴(kuò)展(DNSSEC，

https://dzone.com/refcardz/introduction-to-dns-security?chapter=1)是針對此類問題而創(chuàng)建的安全協(xié)議。DNSSEC協(xié)議通過對數(shù)據(jù)進(jìn)行數(shù)字簽名來保護(hù)其有效性，并防止其受到攻擊。為了確保實現(xiàn)安全的DNS查找，此類簽名必須在DNS查找過程的每個順序級別上進(jìn)行。

2. 聚焦安全的API設(shè)計

一提到安全，人們往往想到的是復(fù)雜性、甚至是不便。因此，API設(shè)計的易用性和可擴(kuò)展性，才是吸引API開發(fā)人員、乃至用戶的關(guān)鍵戰(zhàn)略秘訣。在實踐中，當(dāng)您開始著手為某個微服務(wù)構(gòu)建公開的API時，就應(yīng)該認(rèn)真考慮如何設(shè)計API的安全性。

只有在設(shè)計之初融入了安全性，特別是用戶隱私方面的管控，才能節(jié)省后續(xù)補救與整改的時間和資源。業(yè)界著名的RestCase API平臺正是通過各種AI和復(fù)雜的算法，以方便用戶在設(shè)計階段去檢查和驗證自己的API。同時，它能夠給出如何處置API安全性方面的各種建議。

3. 人工智能(AI)驅(qū)動的API安全性

目前，在不同的行業(yè)，開發(fā)人員通過將系統(tǒng)的API與海量的數(shù)據(jù)相集成，在計算機視覺、空間位置、嵌入式應(yīng)用、Web網(wǎng)格、移動文本數(shù)據(jù)、以及自然語言處理等領(lǐng)域，得到了很好的商業(yè)智能化應(yīng)用，和對發(fā)展趨勢的預(yù)判。通過對于不同實時數(shù)據(jù)源的持續(xù)檢測與分析，各類應(yīng)用具備了更快、更智能的響應(yīng)能力。

與此同時，我們應(yīng)該利用好豐富的數(shù)據(jù)資源，運用AI相關(guān)的趨勢分析能力，對于調(diào)用API的流量進(jìn)行深度分析，進(jìn)而偵測到各種歷史攻擊與異常，并通過自動化的修補措施，以防止后續(xù)攻擊的再次發(fā)生。例如，某些針對特定API的DoS攻擊源，會在網(wǎng)絡(luò)中掃描并攻擊那些設(shè)計方案欠佳，且未對訪問請求實施流速限制的API。有時候，某些API節(jié)點會在算力(computation)上非常消耗資源。例如：那些需要通過哈希算法來進(jìn)行身份驗證的邏輯。因此，一些經(jīng)驗豐富的攻擊者，經(jīng)常會有目的性地利用并向此類節(jié)點發(fā)送垃圾郵件，以拖垮或破壞整個系統(tǒng)。

4. 機器學(xué)習(xí)(ML)驅(qū)動的API安全性

如果說AI主要是用于對攻擊進(jìn)行智能判斷的話，那么ML則主要能夠用于提取威脅的特征。通過開發(fā)帶有ML功能的智能API，運維人員能夠有效地管理各種具有挑戰(zhàn)性和新出現(xiàn)的威脅模型。運用此類API的安全性，我們將能夠更加準(zhǔn)確地識別和標(biāo)記出各種異常行為，判斷出惡意攻擊的發(fā)展趨勢，以及識別和阻止在多種環(huán)境、及情況下針對API的攻擊行為模式?？梢哉f，有了持續(xù)學(xué)習(xí)功能對于API的加持，我們便可以在無法預(yù)知攻擊源、以及預(yù)設(shè)應(yīng)對策略的情況下，及時識別出正在發(fā)生的異常行為。

目前，廣泛用于各種API安全方面的機器學(xué)習(xí)算法，包括：樸素貝葉斯、KNN最近鄰(K-Nearest Neighbors)、決策樹、隨機森林、支持向量機、深度學(xué)習(xí)、以及神經(jīng)網(wǎng)絡(luò)等。

總結(jié)

隨著現(xiàn)代化技術(shù)的日新月異，API安全性已日漸成為了網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一。目前，AI和ML作為有效且智能的工具，已經(jīng)逐漸被應(yīng)用到了協(xié)議棧的各個層面上，以實現(xiàn)API的全棧安全防護(hù)。當(dāng)然，就下一步發(fā)展趨勢來看，開發(fā)人員需要進(jìn)一步加大對于API業(yè)務(wù)模型、分析能力、技術(shù)藍(lán)圖、以及合規(guī)性與標(biāo)準(zhǔn)化方面的深入研究與開發(fā)。

網(wǎng)頁名稱：API安全的發(fā)展趨勢展望
鏈接URL：http://fisionsoft.com.cn/article/cceoodj.html

新聞中心

其他資訊