Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi
Bu belgede, OWASP tarafından tanımlanan güvenlik açıklarını ele almak için Apigee'de kullanabileceğiniz çeşitli yaklaşımlar açıklanmaktadır. Apigee ile ilgili belgelenen diğer yaklaşımlar için 2021'de OWASP'a yönelik en iyi 10 risk azaltma seçeneği başlıklı makaleyi inceleyin.
Giriş
OWASP, kuruluşların güvenilir uygulamalar ve API'ler geliştirmesine, satın almasına ve bunları sürdürmesine yardımcı olmaya adanmış açık bir topluluktur. OWASP, OWASP API Güvenlik projesi aracılığıyla web uygulamaları ve REST API'lerinde en kritik güvenlik risklerini yayınlayıp bu riskleri ele alma konusunda öneriler sunar.
Bu belgede, OWASP'ın 2019 yılında yayınladığı en yaygın on API güvenlik tehdidi doğrultusunda yaygın API tabanlı saldırılara karşı koruma yaklaşımları ele alınmaktadır. En son listede vurgulanan en önemli tehditler arasında yer alan yaygın bir tema, kimlik doğrulama ve yetkilendirme denetimlerinin uygun olmayan şekilde yerleştirilmesidir. Örneğin, erişim denetiminin uygulanması için istemci uygulamasında bir API isteği tarafından döndürülen verilerin filtrelenmesi karşıtı yaklaşımı kullanarak kimlik doğrulama ve yetkilendirme denetimlerinin uygun olmayan şekilde yerleştirilmesinden kaynaklanır.
API ekosistemindeki hızla büyüme devam ettiğinden, saldırganların veri hırsızlığına uğramasına yol açan API kötüye kullanımları ve hatalı kullanımları maalesef günümüzde en yaygın saldırı vektörlerinden biri haline gelmektedir. Güvenlik raporlaması ve anormallik algılama özelliklerini içeren Advanced API Ops gibi bir dizi yeni özellikle güvenlik, Apigee için önemli bir öncelik olmaya devam etmektedir. Bununla birlikte, Apigee'nin güvenlik özelliklerinin tasarlanması ve doğru şekilde uygulanması, API'lerinize başarılı saldırı olasılığını azaltmak için kritik öneme sahiptir.
Uygulamanın çalıştığı platformu kontrol etmediğiniz için Tüketici Uygulamaları güvenilmez veya "herkese açık" olarak kabul edilmelidir. Herkese açık uygulamaların güvenliğinin ihlal edilebileceğini ve bu nedenle erişim denetiminin (API1, API5), yanıt verilerinin filtrelenmesi (API6) veya API anahtarları ya da erişim jetonları gibi istemci gizli anahtarlarının (API2) güvenli şekilde depolanması konusunda söz konusu uygulamalara güvenilemeyeceğini varsayalım. 2019'un OWASP'daki ilk 10 kategorisi incelenerek bazı öneriler ortaya çıkmaktadır:
- API'lerinizi ne tür istemci uygulamalarının API'lerinizi tüketeceğini (SPA, mobil veya tarayıcı tabanlı) belirleyin ve uygun kimlik doğrulama, yetkilendirme ve güvenlik kalıplarını tasarlayın.
- Her zaman "herkese açık istemci" OAuth veya OpenID Connect akışlarını kullan (PKCE kullanılması önemle tavsiye edilir)
- Uygulamanızın iş mantığını düşünün, önce OpenAPI spesifikasyonunuzu tanımlayın ve API proxy'lerinizi, arka uçtan Apigee içindeki tüm yanıt verilerini filtreleyecek şekilde tasarlayın. Bunun için asla aşağı akış uygulamasının kod mantığına güvenmeyin.
- Kullanıcıya özel kimliği tanımlayabilecek bilgiler (PII) içeren tüm veri isteklerini, arka ucunuzda yalnızca istekte bulunan kullanıcıya ait olan verilere izin verecek şekilde filtreleyin.
API1:2019 Bozuk nesne düzeyinde yetkilendirme
Tehdit açıklaması
Bir nesne erişim isteğinin yetkilendirme doğrulamasının yetersiz olması, saldırganın erişim jetonunu yeniden kullanarak yetkisiz bir işlem yapmasına olanak tanır. Bu tehdide, yetkilendirme doğrulamalarının yanlış yapılandırılmasından kaynaklanır. Apigee, bu güvenlik açığına karşı koruma sağlamaya yardımcı olan Doğrulama ApiKey, OAuth ve JSON Web Token (JWT) politikaları sunar. Bununla birlikte, bu tehdidi önlemek için bu politikaların doğru şekilde yapılandırılması son derece önemlidir.
Bu tehdidi önlemek için uygulama geliştirme ve güvenlik ekiplerinin yakın bir şekilde iş birliği yapması önemlidir. Yetkilendirme, doğası gereği karmaşık bir konudur ve etkili ve ayrıntılı yetkilendirme, uygulamanın iş mantığının derinlemesine anlaşılmasını gerektirir.
Apigee uygulaması açısından dikkate alınması gereken iki temel unsur vardır:
- Erişim jetonu bütünlüğü
- Erişim denetimini zorunlu kılma
Erişim Jeton Bütünlüğü
Uygun kimlik bilgisi doğrulama veya imzalama mekanizmasıyla birlikte doğru OAuth veya OpenID Connect akışı kullanılarak, istekte bulunan istemci tarafından sağlanan jetonun değiştirilmediğinin doğrulanması çok önemlidir. Apigee, yaygın olarak kullanılan tüm OAuth akışlarını destekler.
Apigee erişim jetonu doğrulama politikaları şunları içerir:
- OAuth 2.0 çerçevesini kullanırken jetonlara, yenileme jetonlarına veya yanıt akışı jetonlarına erişme (bir saldırganın erişim jetonunu ele geçirmesini önlemek için PKCE ile istemci sorgulaması kullanımı dahil)
- OpenID Connect 1.0 JSON Web Jetonları ve JSON Web İmzaları
- SAML onaylarını doğruluyor
- API anahtarlarını doğrulama
- Anahtarlı karma mesaj doğrulama kodu (HMAC) doğrulama
Erişim Denetimi Zorunluluğu
Erişim jetonunun geçerliliği doğrulandıktan sonra, gelen her API isteğini yetkilendirme jetonunun erişim yetkilerine göre değerlendirmek için erişim denetimini zorunlu kılma politikalarını uygulamak çok önemlidir.
Apigee, yetkilendirme politikalarının doğrulanması ve uygulanması için iki ana mekanizma sağlar:
- Dahili: Bir yetkilendirme jetonundan akış değişkenleri olarak ayıklanan hak taleplerine dayalı erişim isteklerini değerlendirmek için koşullu akışları kullanma
- Yetki verilmiş: Üçüncü taraf erişim yönetimi çözümü için hizmet çağrısı kullanılır.
Erişim denetimi modeli nispeten basit olduğunda dahili yaklaşım (yukarıdaki şekilde gösterilmiştir) önerilir. Örneğin, erişim jetonundan çıkarılan hak talepleri, API nesnesi isteğini doğrudan değerlendirmek ve yetkilendirmek için kullanılabiliyorsa.
Koşullu akış ifadelerini kullanarak erişim isteklerini değerlendirmek için OAuth veya JWT politikaları için mevcut olan akış değişkenlerini kullanın.
Bir erişim jetonundan alınan hak talepleri, arka uç nesnesine yönelik bir API isteğini yetkilendirmek üzere doğrudan kullanılamadığında veya erişim jetonu almak için yetkilendirme sunucusuna ayrı bir çağrı yapılmasını gerektiren daha karmaşık OAuth akış türleri için yetki verilmiş yaklaşımı (yukarıdaki şekilde gösterilmiştir) önerilir.
Hizmet açıklama metni politikası kullanılarak, üçüncü taraf bir hizmetten yetkilendirme politikası kararı istemek veya istekte bulunan aracı hakkında ek hak talebi bilgileri edinerek koşullu akış kullanarak erişim denetimi kararı almak mümkündür
API2:2019 Bozuk kullanıcı kimlik doğrulaması
Tehdit açıklaması
Kötü uygulanmış kullanıcı kimlik doğrulama politikaları, saldırganların kimlik doğrulama uygulamalarındaki uygulama açıklarından yararlanarak meşru kullanıcıların kimliğine bürünmesine olanak tanır. Kimlik doğrulama yaklaşımlarını uygularken unutulmaması gereken bazı kimlik doğrulama ilkeleri şunlardır:
- Her zaman hem kullanıcı aracısının (uygulama) hem de istekte bulunan kullanıcının kimliğini doğrula
- Yetki verilmiş kimlik doğrulama ve yetkilendirme kalıplarını kullanın ve şifreleri doğrudan API isteği içinde iletmekten kaçının
- Erişim kimlik bilgilerinin imzasını her zaman doğrulayın ve kullanılan tüm erişim kimlik bilgilerinin tanımlı bir süre sonu olduğundan emin olun
- Bot destekli kaba kuvvet saldırılarını tespit edip bunlara yanıt vermek için kotalar belirleyerek ve Apigee Sense'i kullanarak kaba kuvvet saldırılarını önleyin
Dışarıda bir paradigma altında API tasarımı, arka uç sistemlerinizdeki mevcut verilerin yapısından ziyade tüketicilerin veriler için kullanım alanlarını temel alır. Güvenlik, harici tüketiciler için API'ler tasarlarken kritik bir unsurdur. Arka uç sistemleri, geleneksel olarak herkese açık ağlara erişmek için yeterince güçlü kimlik doğrulama uygulamalarıyla oluşturulmaz. Bu noktada Apigee, kimlik ve erişim yönetimi çözümüyle birlikte bu tehdide karşı koruma sağlamak için güçlü çözümler sunabilir.
Burada dikkat edilmesi gereken birkaç önemli unsur vardır. Bu unsurların her ikisi de sonraki bölümlerde ele alınacaktır:
- Güvenlik tasarımı: Kimlik doğrulama kalıpları uygulamak için Apigee özelliklerinden tam olarak yararlanma
- Yönetim: Yayınlanan tüm API ürünlerinde, tasarlanan kimlik doğrulama kalıplarının doğru kullanımının tutarlı olarak kullanıldığından emin olma
- Operasyonel güvenlik: Şüpheli veya anormal davranışları tespit edebilme ve kimliği doğrulanmış API proxy'lerini atlatmaya veya zorla zorlamaya çalışma
Güvenlik Tasarımı
Güvenlik tasarımının amacı, kimlik doğrulama akışlarını ve üçüncü taraf kimlik araçlarıyla entegrasyonu doğru şekilde uygulamaktır. Güvenlik tasarımı kritik bir aşamadır ve API uç noktalarınızı tüketecek uygulama türüne göre, kullanılacak doğru yetki verilmiş kimlik doğrulama akışı türünün anlaşılmasıyla başlar. Sonraki adım, kimlik ekibinizle birlikte kimlik çözümünüzle birlikte uygulayacağınız entegrasyon kalıplarını tanımlamaktır.
OpenID Connect ve OAuth RFC'leri, çok sayıda yetki verilmiş kimlik doğrulama ve yetkilendirme akışı ile bu akışlara dahil olan kişiler sağlar. Bu karmaşık bir konudur ve bozuk kimlik doğrulamasının, en önemli OWASP API tehditlerinden biri olması şaşırtıcı değildir. Kimlik standartlarının doğru uygulanmasıyla ilgili kapsamlı bir kılavuz sunmak bu belgenin kapsamı dışındadır ancak Apigee, OAuth akışlarını daha iyi anlamak için bu e-kitap, web yayını ve örnek uygulama gibi birçok ek kaynağa sahiptir.
Kimlik doğrulama politikaları
Kimlik ve kimlik doğrulamayla ilgili sorunların ele alınmasına yardımcı olan Apigee politikaları şunları içerir:
- OAuth 2.0 çerçevesini kullanırken erişim jetonlarını, yenileme jetonlarını veya yanıt akışı jetonlarını doğrulama ya da oluşturma. Not: Teknik olarak OAuth, yetki verilmiş bir yetkilendirme çerçevesi olsa da yetki verilmiş veya birleştirilmiş kimlik doğrulama kalıplarında yaygın olarak kullanılmaktadır
- OpenID Connect 1.0 JSON Web Jetonları ve JSON Web İmzaları doğrulama, kod çözme ve oluşturma
- SAML onaylarını oluşturma ve doğrulama
- API anahtarlarını doğrulama
- Anahtarlı karma mesaj doğrulama kodu (HMAC) doğrulama
Trafik Yönetimi
Aşağıdaki Apigee trafik yönetimi özellikleri, kaba kuvvet saldırılarına karşı koruma sağlar:
- API proxy'sinde genel hareketli ortalama hız sınırı belirlemek için kullanılan Spike Arrest politikası
- Kota politikaları: Uygulama anahtarları, geliştiriciler veya API ürün kotaları tarafından tanımlanan kotalara göre API proxy'lerine yönelik ayrıntılı hız sınırları belirlemek için
- Depolanan erişim jetonlarını tanımlanan geçerlilik sürelerine göre önbelleğe almak ve önbelleğe alınan kimlik bilgilerini invalidate (örneğin, geçerli bir erişim jetonunun güvenliğinin ihlal edildiği durumlarda) için önbelleğe alma politikaları.
Yönetim
Güvenlik, bir "belirle ve unut" projesi değil, devam eden bir süreçtir. Güvenlik ihlallerinin en büyük nedenlerinden biri de yanlış yapılandırmadır. Kimlik doğrulama akışları, kimlik entegrasyonu kalıpları ve kimlik doğrulamayla ilgili trafik yönetimi politikaları tanımlandıktan sonra bunların doğru ve tutarlı bir şekilde uygulanması son derece önemlidir.
Apigee, uygulama bütünlüğünü sağlamak ve yanlış yapılandırma hatalarını önlemek için çeşitli özellikler ve araçlar sunar.
Rol Tabanlı Erişim Denetimi (RBAC)
İster büyük bir kuruluş ister küçük bir startup olun, yanlış yapılandırma hatalarından kaçınmanın ilk adımı, API proxy yapılandırmalarına yalnızca doğru kişi ve ekiplerin erişip bunları değiştirebilmesini sağlamaktır. API programları, kuruluşunuzdaki farklı disiplinlerden ekipler tarafından desteklenir. API yolculuğunuzun bir parçası olarak her ekibe yalnızca işlerini yapmaları için gerekli izinlerin verilmesi büyük önem taşır.
Apigee, kullanıcıları önceden tanımlanmış rollere atamanıza veya API ekiplerinize uygun özel roller oluşturmanıza olanak tanıyarak rol tabanlı erişimi yönetmenizi sağlayan özellikler sunar. Rol atamasının doğru şekilde tanımlanması ve yönetilmesi, API programınızı güvenli bir şekilde ölçeklendirmek için kritik öneme sahiptir. Ayrıca, mevcut şirket dizininizle entegrasyon sağlamak ve Apigee'de ikinci bir yönetici kimlik bilgisi grubunu yönetme ihtiyacını azaltmak için federasyon özelliğinden yararlanabilirsiniz.
Paylaşılan Akışlar
Paylaşılan akışlar, politikaları ve kaynakları, API proxy'leri genelinde uygulanabilecek yeniden kullanılabilir bir nesnede tanımlamanızı sağlar. Örneğin, bir API kullanan uygulamanın türüne dayalı olarak güvenlik ekiplerinizle ortak olarak birden fazla kimlik doğrulama tasarım kalıbı tasarlamış olabilirsiniz. Bir API geliştiricisinin bunu yeniden kullanmak için kimlik uzmanı olması gerekmez. Tek yapması gereken, Akış açıklama metni politikasını kullanarak mevcut API proxy yapılandırmasına eklemek için doğru paylaşılan akışı bilmesi gerekir.
Şekil: Paylaşılan Akışlar, birleşik bir kalıp korumanızı sağlayan yeniden kullanılabilir politika paketleri ve koşullu mantıktır.
Güvenlik Raporları
Kimlik doğrulama kalıplarınızı yalnızca kuruluşunuzdaki doğru kişilerin değiştirebildiğinden ve paylaşılan kimlik doğrulama akışlarınızı tanımladıktan sonra, API ekiplerinizin geliştirdiği API proxy'lerinin bu kimlik doğrulama kalıplarını tutarlı bir şekilde kullandığından emin olmanız gerekir.
Apigee'nin yeni Gelişmiş API İşlemleri özelliği, operasyon ve güvenlik ekiplerinin tüm API proxy'lerindeki raporları kolayca görüntülemesini sağlayan ve paylaşılan akışların kullanımı gibi güvenlik politikalarına uyulmasına odaklanan gelişmiş güvenlik raporlamasını içerir. Raporlama, günlük kaydı ve uyarı işlevleri, API10: yetersiz günlük kaydı bölümünde daha ayrıntılı olarak ele alınacak, API güvenliğinin temel unsurlarından biridir. Ancak çalışmayan kimlik doğrulama risklerini önlemek açısından, paylaşılan akışlar olarak uygulanmış olan tanımlı kimlik doğrulama standartlarınıza uyulmasını sağlamak açısından son derece yararlıdır.
Operasyonel Güvenlik
Temel trafik yönetimiyle birlikte doğru kimlik doğrulama kalıpları kullanılarak API'leriniz üretime başladıktan sonra, SecOps ekibinizin de genellikle kimlik doğrulama bilgilerinin güvenliğinin ihlal edilmesiyle başlayan şüpheli etkinlikleri izleyip yanıt vermesi gerekir.
Apigee Sense
Apigee Sense, API'lerinizi kötü amaçlı istemcilerin saldırıları da dahil olmak üzere istenmeyen istek trafiğinden korur. Apigee Sense, istenmeyen istekleri temsil edebilecek kalıpları tespit ederek API istek trafiğini analiz eder. Bu analizi kullanarak istenmeyen istekler gönderen istemcileri belirleyebilir ve ardından bu isteklere izin vermek, bunları engellemek veya işaretlemek için harekete geçebilirsiniz. Sense'in gelecekteki özellikleri, şüpheli trafikte ReCAPTCHA doğrulamasını otomatik olarak etkinleştirme özelliğini içerecek.
Apigee Sense ile API'lerinizi şunları içeren istek kalıplarından koruyabilirsiniz:
- İnsan davranışıyla uyumlu otomatik davranışlar
- Aynı IP'den yapılan kalıcı denemeler
- Olağan dışı hata oranları
- Şüpheli istemci istekleri
- Veri tarama
- Anahtar toplama ve kimlik doğrulama kaba kuvvet saldırıları
- Etkinlik serileri
- Coğrafi kalıplar
Advanced API Ops
Sense, bot benzeri tehditleri tespit edip bunlara yanıt vermek için özel olarak tasarlanmış olsa da Advanced API Ops hem anormallik algılama hem de gelişmiş uyarı tanımını içerir.
Anormallik algılama, geçmiş API verilerinize yapay zeka (AI) ve Makine Öğrenimi (ML) modelleri uygulayarak çalışır. Böylece anormallik algılama, üretkenliğinizi artırmak ve API sorunlarınızın ortalama çözüm süresini (MTTR) azaltmak için aklınıza gelmemiş olabilecek senaryolar hakkında gerçek zamanlı olarak uyarılar verebilir.
Gelişmiş API İşlemleri, aşağıdaki gelişmiş uyarı türlerini eklemek için mevcut API Monitoring uyarı mekanizmasını temel alır:
- Toplam trafik uyarısı sayısı. Trafik bir zaman aralığında belirli bir yüzde oranında değiştiğinde bir uyarı verir. Örneğin, trafik bir saat boyunca %5 veya daha fazla arttığında ya da bir hafta boyunca en az% 10 oranında düştüğünde uyarı verebilirsiniz.
- Anormallik uyarıları. Edge, trafik ve performans sorunlarını sizin önceden belirlemek zorunda kalmadan algılar. Ardından bu anormallikler için uyarı oluşturabilirsiniz.
- TLS Süre sonu uyarıları. Bir TLS sertifikasının geçerlilik süresi dolmak üzere olduğunda bildirim gönderir
API3:2019 Aşırı düzeyde veri maruz kalma
Tehdit açıklaması
Yayınlanan bir API, gerekli filtrelemeyi yapmak için istemci uygulamasına güvenerek gerekenden daha fazla veri açığa çıkarabilir. Bir saldırgan, temel API'yi doğrudan sorgularsa hassas verilere erişebilir.
Apigee'nin API tasarımına yönelik "dışarıdan" tasarım ilkelerinden biri veri parsimony'dir. Verileri yalnızca uygulamanızın kullanıcı arayüzünde gerekli olan API'ler aracılığıyla ortaya çıkarmak için kullanıcı deneyimi tasarımcılarınızla ve geliştiricilerinizle birlikte çalışın. Arka uç sistemleri genel kullanım kalıplarına göre oluşturulmamıştır. Bu nedenle, API'lerin Apigee ile öncelikli olarak tasarlanmasının ilk görevlerinden biri, müşterilere ve geliştiricilere mükemmel bir API ürünü sunmak için gereken minimum düzeyde veri kullanımını azaltmaktır.
Apigee'nin tasarım ilkelerinden bir diğeri de yeniden kullanılabilirliktir. Güvenlikle ilgili endişeler de bir API tarafından sağlanan verilerin filtrelenmesi için bir uygulamanın kullanılması, bu filtreleme mantığını uygulama geliştirdiğiniz her platforma taşıma zorunluluğuna neden olur.
Güvenlik açısından bakıldığında bu tehdit, genellikle üzerinde kontrolünüzün olmadığı bir platformda veya işletim sisteminde bir uygulamaya yetkilendirme yaptırımı yetkisi vermekten kaynaklanır. API1 ve API2'de, yetkisiz veri erişimini önlemek için kimlik doğrulama ve yetkilendirmeyi doğru şekilde uygulamanın önemini inceledik.
Sonraki bölümlerde aşağıdakilerin nasıl yapılacağı ele alınmaktadır:
- Veri açığa çıkmasını en aza indirmek için arka uç hizmetlerine istekleri ve yanıtları yeniden yazın
- Ayrıntılı hata mesajlarının, arka uç hizmetleriniz hakkındaki hassas ortam bilgilerinin saldırganlara açığa çıkmasını önlemek için hata işleme yöntemini uygulayın
Yanıtları ve istekleri yeniden yazma
Arka uç sistemleri genellikle herkese açık uygulamalarda veya güvenilir olmayan herkese açık ağlarda kullanılmak üzere tasarlanmamıştır. Apigee Edge, arka uçlarınızı aşırı miktarda veri kullanımına karşı koruyarak herkese açık API ürünlerini dağıtmanızı sağlamak için tasarlanmıştır.
Apigee bunu yapmak için üç temel politika kullanır:
- İleti Ata
- Kod açıklama metinleri
- Hata işleme
Mesaj politikası atama
Mesaj Ata politikası, API proxy Akışı sırasında değişir veya yeni istek ve yanıt mesajları oluşturur. Politika, söz konusu iletilerde aşağıdaki işlemleri gerçekleştirmenize olanak tanır:
- Mesaja yeni form parametreleri, başlıklar veya sorgu parametreleri ekleyin
- Bir mesajdaki mevcut özellikleri diğerine kopyalayın
- Bir mesajdan üstbilgileri, sorgu parametrelerini, form parametrelerini ve/veya mesaj yüklerini kaldırın
- Bir mesajdaki mevcut özelliklerin değerini ayarlayın
Mesaj Atarken genellikle isteğin veya yanıtın özelliklerini ekler, değiştirir veya kaldırırsınız. Ancak, özel bir istek veya yanıt mesajı oluşturmak ve bunu alternatif bir hedefe iletmek için Özel istek mesajları oluşturma bölümünde açıklandığı gibi Mesaj Ata özelliğini de kullanabilirsiniz.
Özel kodla karmaşık yeniden yazma
Karmaşıklığı Mesaj atama politikasının kapasitesinden daha fazla olan karmaşık veri işleme ve yeniden yazma kuralları için JavaScript, Java veya Python gibi prosedürel diller kullanabilirsiniz. API proxy'sine özel kod ekleyebilir ve ardından bu kodu proxy akışına eklenen politikalardan çağırabilirsiniz. Prosedürel kod desteği; akış değişkenlerinin, hataların, istek ve yanıt gövdelerinin karmaşık şekilde işlenmesini uygulamanızı kolaylaştırmak için tasarlanmıştır.
Prosedürel kod ile şunları yapabilirsiniz:
- İstek ve yanıt değerleri gibi karmaşık gövde değerleri oluşturma veya bunları değiştirme.
- URL'leri yeniden yazın (ör. bir hedef uç nokta URL'sini maskelemek için).
Apigee Edge, desteklenen diller için ayrı bir politika içerir: JavaScript politikası, Java açıklama metni politikası ve Python Komut Dosyası politikası.
Hata giderme
Apigee, Hata Ver türünde bir politika kullanarak özel istisnaları işlemenize imkan tanır. Mesaj Ata Politikası'nın bir varyasyonu olan Hata Oluştur politikası, bir hata koşuluna yanıt olarak özel bir hata yanıtı oluşturmanıza olanak tanır.
Paylaşılan Akışlar
Paylaşılan akışlar, hata mesajlarının standartlaştırılmasını sağlamak için kullanılabilir. Örneğin, arka uçtan belirli bir HTTP hata kodunu algılayan aynı yapılandırılmış politikalar, genel bir hata mesajı döndürmek için hata yanıtını yeniden yazmak için kullanılabilir.
API4:2019 Kaynak eksikliği ve hız sınırlaması
Tehdit açıklaması
Saldırganlar, hız sınırlama politikaları uygulamayarak arka ucu hizmet reddi saldırılarıyla boğabilir.
Aşağıdaki Apigee özellikleri kullanılarak bu tehdit kolayca giderilebilir:
- Gelen API isteklerine trafik sınırları uygulamak için önleyici kontroller olarak Kotalar ve Spike Arrest politikaları
- Bot odaklı saldırıları dinamik olarak tespit etmek ve bunlara yanıt vermek için Apigee Sense
- Devam eden DDoS saldırılarına karşı uyarı gönderilecek dedektif denetimleri olarak gelişmiş API izleme ve uyarıları
Kotalar ve Spike Arrest politikalarıyla hız sınırlaması
Apigee, hız sınırlaması için iki politika sunar:
- Ani artış durdurma, bir arka uca gelen isteklerin toplam sayısını sınırlandırmak için API proxy düzeyinde tanımlanan genel bir politika sağlar
- Kotalar, API proxy'si veya API ürün düzeyinde kota politikalarının uygulanması için ayrıntılı bir politika aracı sağlar
Sivri Uçurulma
Ani Yakalama politikası trafik artışlarına karşı koruma sağlar. Bu politika, politika dahilinde tanımlanabilir bir hareketli ortalama değeri kullanarak, API proxy'si tarafından işlenen ve arka uca gönderilen istek sayısını kısıtlar. Böylece, performans gecikmelerine ve kapalı kalma sürelerine karşı koruma sağlar.
Kotalar
Kota politikası, bir API proxy'sinin dakika, saat, gün, hafta veya ay gibi bir süre boyunca izin verdiği istek mesajı sayısının yapılandırılmasını sağlar. Kotayı, API proxy'sine erişen tüm uygulamalar için aynı olacak şekilde veya şu ölçütlere göre ayarlayabilirsiniz:
- API proxy'sini içeren ürün
- API isteyen uygulama
- Uygulama geliştirici
- Diğer birçok kriter
Bu politika, Spike yakalama işleminden daha ayrıntılıdır ve genellikle bununla eş zamanlı olarak kullanılmalıdır.
Apigee Sense ile bot algılama
Apigee Sense ile belirli istemcilerden, IP aralıklarından veya Otonom Sistem kuruluşlarından gelen isteklere kötü amaçlı ya da şüpheli davranış sergileyen istemcilere veya konumlara göre açık bir şekilde izin vermek, bunları engellemek ya da işaretlemek için harekete geçebilirsiniz. Apigee Edge, bu işlemleri API proxy'leriniz işlemeden önce isteklere uygular. Örneğin, "kaba tahminci" davranışı sergileyen bir IP aralığı veya belirli bir istemci tespit edilip engellenebilir ya da işaretlenebilir.
Gelişmiş API İşlem İzleme ile tehdit algılama
Bir ortam, proxy veya bölgenin trafiği bir zaman aralığında belirli bir yüzde oranında değiştiğinde bildirim almak için bir trafik uyarısı kullanın. Bu özellik, DDoS saldırısında olduğu gibi, trafik beklenen işleme hızınızdan önemli ölçüde saptığında dinamik olarak uyarı verebilir. Bu uyarılar, üçüncü taraf günlük kaydı ve izleme çözümüne kolayca gönderilebilir.
API5:2019 İşlev seviyesi yetkilendirmesi bozuk
Tehdit açıklaması
Bu tehdit API1'in varyasyonudur ve aynı zamanda bir yetkilendirme güvenlik açığıdır. Bu tehdit sayesinde saldırganlar, erişme yetkisi olmadığı işlevlere istek göndererek işlem gerçekleştirebilir. Örneğin, bir saldırgan, GET yerine PUT veya DELETE yazarak yalnızca API uç noktası HTTP istek fiilini doğrulayamazsa okuma yetkisi olan verileri değiştirebilir veya silebilir. Alternatif olarak, API kaynak URI'sı yolunda yeterince kısıtlayıcı erişim denetimi uygulanmadığında API uç noktası, bir istekteki yolu değiştirerek saldırganın başka bir kullanıcının verilerini görüntülemesine izin verebilir.
Herkese açık erişim için tasarlanmamış birçok arka uç sistemi, yüksek riskli yönetim işlevleri dahil olmak üzere birden fazla iş mantığı işlevini yürütmek için varsayılan olarak tek bir uç nokta sağlayabileceğinden bu tür tehdit, Apigee'yi uyumlulaştırma ve soyutlama katmanı olarak kullanmanın değerini vurgular.
Bu tehdidin gerçekleşme olasılığını azaltacak kavramsal öğeler genellikle aşağıdaki bölümlere ayrılır:
- Neler korunuyor? API ürün stratejinizi düşünün ve Apigee API proxy'leri, ürünleri ve uygulama özelliklerinin sunduğu yolları ve kaynakları tasarlamak için RESTful en iyi uygulamalarını kullanırken işlevlerin mantıksal segmentasyonunu uygulayın.
- API kaynaklarınıza kimler erişiyor? Apigee'nin API1 ve API2'de açıklanan kimlik doğrulama ve yetkilendirme özelliklerinden bazılarını kullanarak üst düzey karakterleri tanımlayın ve "en az ayrıcalıklı" varsayılan erişim haklarını uygulayın.
- Erişim politikalarınız nasıl uygulanıyor? Tüm API isteklerinin URL yolunu ve fiilini doğrulamak için koşullu akışlar ve hatalar kullanın.
Şekil: Bu şema, erişim jetonunda sağlanan kapsamlar yararlanma hakkı olarak kullanılarak, Apigee'de işlev düzeyinde yetkilendirmenin nasıl zorunlu kılınacağını göstermektedir.
API proxy'leri, ürünler ve uygulamalarla mantıksal segmentasyon
Apigee, API kaynaklarının mantıksal segmentasyonunu mümkün kılacak son derece esnek bir araç seti sunar. Böylece API proxy'leri, herhangi bir sayıda API ürünüyle birlikte sunulur. Daha sonra API ürünlerinizden yararlanan uygulamaları kaydedebilen uygulama geliştiricileriniz bu ürünleri kullanır. Erişim politikaları bu düzeylerden herhangi birinde tanımlanabilir.
Bununla birlikte, etkili bir işlevsel yetkilendirme ve segmentasyon uygulamak için API ürün stratejisi tanımlamak çok önemlidir. Bu temel ve devam eden sürecin bir parçası, API kaynaklarınızı müşterinizin ve geliştiricinin bakış açısından inceleyerek ve yol kaynağı ve HTTP fiil düzeyine kadar tam olarak ne tür isteklere izin verileceğini tanımlayarak API ürünlerinizin "kim" ve "ne" tanımlarını içerir.
Şekil: Bir API ürününde paketlenen API kaynakları bir veya daha fazla API'den gelebilir. Böylece tüketim katmanları ve yetkilendirme sınırları oluşturmak için kaynakları karıştırıp eşleştirebilirsiniz.
OAuth kapsamları ve JWT hak talepleriyle işlev düzeyinde Erişim Denetimi
API1:2019 Bozuk nesne yetkilendirmesi için yukarıda değerlendirilen yetkilendirme yaklaşımları, nesne düzeyinde ayrıntılı erişim denetimini ele alır ancak genel erişim kontrolünü işlev düzeyinde ele almak da aynı derecede önemlidir. İstekte bulunan kullanıcının bu URL yolunu istemesine bile izin veriliyor mu? Bu politika türü genellikle kullanıcı karakteri (müşteri, çalışan, yönetici, şirket içi veya 3. taraf geliştirici) başına tanımlanır.
Yanlış yapılandırma riskini azaltmak için, güvenlik ekibinizle birlikte çalışarak istekte bulunan kullanıcıyla ilgili ifadelerin, OAuth kapsamları veya JWT talepleri kullanılarak erişim jetonunda bulunduğundan emin olmanız önerilir.
Koşullu akışlarla doğrulama isteme
Temel düzeyde, REST API çağrısı aşağıdakilerden oluşur:
- Uç nokta
- Kaynak
- İşlem fiili
- Sorgu parametreleri gibi herhangi bir sayıda ek istek özelliği
Bu tehditte açıklanan saldırı türü, genellikle bir API isteğinin yetersiz filtrelenmesinden kaynaklanır. Böylece, saldırganın yetkisiz işlemler gerçekleştirmesine veya korunan bir kaynağa erişmesine izin verilir. Apigee, erişim jetonları veya taleplerine göre istekleri filtrelemenizi sağlayan koşullu mantığa ek olarak, isteğin kendisine göre filtreleme mantığının uygulanmasına da olanak tanır.
Bir API ürününün iş mantığını ve API'lerinizin hangi işlevlere izin verdiğini net bir şekilde anlayıp tanımladıktan sonra aşağıdaki Apigee ürün özellikleri aracılığıyla bu durumun dışında kalan istekleri kısıtlamanız gerekir:
- Proxy akışı yapılandırmasının herhangi bir adımında kaynak yollarını veya fiilleri kısıtlamak için koşullu mantık ve Hata Yükseltme politikaları
- JSON ve XML Bozuk JSON veya XML isteği yüklerini kullanan içeriğe dayalı saldırılara karşı koruma sağlayan tehdit koruması politikaları
API6:2019 Toplu atama
Tehdit açıklaması
API'ler aracılığıyla istemci uygulamalarına sağlanan filtrelenmemiş veriler, saldırganların istekleri kullanarak nesne özelliklerini tahmin etmesine veya uç nokta adlandırma kurallarından yararlanarak arka uçta depolanan veri nesnelerinde yetkisiz değişiklikler ya da mülklere yetkisiz şekilde erişmeleri konusunda ipuçları elde etmesine olanak tanır.
Bu tehdit, bir istemciye filtrelenmemiş veriler (genellikle JSON veya XML biçiminde) gönderildiğinde ortaya çıkar. Saldırganlar, arka uç sistemlerinizin temel uygulama ayrıntılarını ve gizli veri öğelerinin özellik adlarını tahmin edebilirler. Bu tür saldırıların sonucunda, saldırganlara uygunsuz verileri okuma veya değiştirme olanağı verilebilir ya da en kötü senaryolarda uzaktan kod yürütme güvenlik açıkları ortaya çıkabilir.
Bu tür tehdide izin veren iki unsur vardır:
- API tasarımı perspektifi. Uygulamalar, saldırganlar tarafından kötüye kullanılabilir ve güvenilir olarak kabul edilebileceğinden, istemci taraflı veri filtrelemesi yapmak için hiçbir zaman uygulama mantığına güvenmeyin. API veri şemanızı her zaman, bir API hizmetini etkinleştirmek için yalnızca minimum düzeyde gerekli verileri gösterecek şekilde tasarlayın.
- API uygulama perspektifi. Gizli verilerin istemci uygulamasında yanlışlıkla açığa çıkmasını önlemek için veri filtreleme ve şema doğrulaması uygulayın
Apigee ürün perspektifinden, API'lerinizin sağlam veri filtreleme uygulaması sağlamak için birçok faydalı özellik sunuyoruz.
OpenAPI Specification filtreleme politikası
OASValidation (OpenAPI Specification Validation) politikası, gelen bir isteği veya yanıt mesajını bir OpenAPI 3.0 Specification (JSON veya YAML) ile doğrulamanızı sağlar. Bu politika ile yapabilecekleriniz:
- OpenAPI spesifikasyonu (OAS) oluşturarak API'nizi tasarlayın
- Apigee ile arka ucunuzdaki bir API ürününü güvenli bir şekilde göstermek için gerekli uyumlulaştırma, güvenlik ve önbelleğe alma mantığını uygulayın
- Gelen istekleri, basepath, verb, request message policy ve parameters dahil OAS spesifikasyonunuzda tanımlanan veri şemasına göre doğrulayın
SOAP Mesaj Doğrulama politikası
SOAP Mesaj Doğrulama Politikası, XML mesajını XSD şemasına göre doğrulayarak veya SOAP mesajını WSDL tanımına göre doğrulayarak XML tabanlı istekleri doğrulamanıza olanak tanır. Buna ek olarak, bir JSON veya XML mesaj yükünün doğru biçimlendirildiğini doğrulamak için Message Validation politikasını kullanabilirsiniz. Buna, XML veya JSON mesajında aşağıdakilerin de doğrulanması dahildir:
- Tek bir kök öğe bulunuyor
- İçerikte yasa dışı karakter yok
- Nesneler ve etiketler uygun şekilde iç içe yerleştirilmiş
- Başlangıç ve bitiş etiketleri eşleşiyor
API7:2019 Güvenlik yanlış yapılandırması
Tehdit açıklaması
Güvenlikle ilgili yanlış yapılandırma genellikle güvenli olmayan varsayılan yapılandırmalar, eksik veya anlık yapılandırmalar, açık bulut depolama alanı, yanlış yapılandırılmış HTTP üstbilgileri, gereksiz HTTP yöntemleri, izin verici kaynaklar arası kaynak paylaşımı (CORS) ve hassas bilgiler içeren ayrıntılı hata mesajlarından kaynaklanır. Saldırganlar genellikle saldırmak istedikleri sisteme yetkisiz erişim veya bilgi sahibi olmak için yama uygulanmamış hataları, yaygın uç noktaları veya korumasız dosya ve dizinleri bulmaya çalışırlar. Güvenlikle ilgili yanlış yapılandırmalar, yalnızca hassas kullanıcı verilerini değil, sistem ayrıntılarını da açığa çıkarabilir. Aksi takdirde, sunucu güvenliğini tamamen ihlal edebilir. Ek olarak, yanlış güvenlik yapılandırmalarına yönelik güvenlik açıklarına yönelik diğer bazı kullanım alanları aşağıdakileri içerebilir:
- Hatalı yapılandırılmış TLS
- Yığın izleme içeren hata mesajları
- Yama uygulanmamış sistemler
- Açığa çıkan depolama alanı veya sunucu yönetim panelleri
Kuruluşların, güvenlikle ilgili yanlış yapılandırmalarla ilgili zorlukları ele almak ve bunları azaltmak için uygulayabileceği çeşitli adımlar vardır. Bu adımlardan bazıları şunlardır:
- Sağlamlaştırma ve yama uygulama süreçleri oluşturma ve standartlaştırma
- API ekosistemi etrafında yönetişim geliştirme
- Yönetim erişimini kısıtlama, denetim ve uyarıları etkinleştirme
Paylaşılan Akışlar ve Akış Kancaları
Apigee, API geliştiricilerinin politikaları ve kaynakları yeniden kullanılabilir bir grupta birleştirmesine olanak tanıyan paylaşılan akış kavramını destekler. Paylaşılan bir akış, yeniden kullanılabilir işlevleri tek bir yerde tutarak tutarlılığı sağlamanıza, geliştirme süresini kısaltmanıza ve kodu daha kolay yönetmenize yardımcı olur. Bağımsız API proxy'lerinin içine paylaşılan bir akış ekleyebilir veya bir adım daha ileri gidip paylaşılan akışları akış kancalarına yerleştirerek paylaşılan akışla aynı ortamda dağıtılan her API proxy'si için otomatik olarak paylaşılan akış mantığı yürütebilirsiniz.
API Güvenlik Raporları
Kuruluşlar bir yönetim çerçevesi geliştirmeye çalışırken Apigee, operasyon ekiplerine aşağıdaki amaçlarla API'lerin güvenlik özelliklerine ihtiyaç duydukları görünürlük konusunda yardımcı olan API güvenlik raporlaması özellikleri sunar:
- Güvenlik politikalarına ve yapılandırma gereksinimlerine uyulmasını sağlama
- Hassas verileri dahili ve harici kötüye kullanıma karşı koruma
- Güvenlik olaylarını proaktif olarak tanımlayın, teşhis edin ve çözün
Apigee Güvenlik raporlaması; operasyon ekiplerinin politikalara ve yapılandırma gereksinimlerine bağlı olmalarını sağlamak, API'leri şirket içi ve dışı kötüye kullanıma karşı korumak ve güvenlik olaylarını hızla tespit edip çözmek için ayrıntılı analizler sağlar.
Güvenlik raporlaması sayesinde güvenlik yöneticileri, API proxy'lerinizin güvenlik için nasıl yapılandırıldığını ve proxy güvenliğini etkileyebilecek çalışma zamanı koşullarını hızlı bir şekilde anlayabilir. Bu bilgileri kullanarak her proxy için uygun güvenlik düzeyine sahip olduğunuzdan emin olmak amacıyla yapılandırmayı ayarlayabilirsiniz.
API Monitoring
Apigee, güvenlik raporlama özelliklerini tamamlayan kapsamlı bir API İzleme platformu sağlar. API Monitoring, kuruluşların API trafiğini ve performans sorunlarını proaktif olarak algılayabilmesini sağlar. Apigee API Monitoring, API performansıyla ilgili gerçek zamanlı bağlamsal analizler sunmak amacıyla Public Cloud için Apigee Edge ile birlikte çalışır, sorunların hızla teşhis edilmesine yardımcı olur ve iş sürekliliği için düzeltme işlemlerini kolaylaştırır.
Şekil: Apigee API Monitoring, sorunları izlemek, incelemek ve çözmek için çok çeşitli araçlar sunar. Google Cloud Platform'un sınıfının en iyisi zeka özelliklerinden yararlanır.
Apigee Sense
Apigee Sense, API'leri kötü amaçlı istemcilerin saldırıları da dahil olmak üzere istenmeyen istek trafiğinden korumaya yardımcı olur. Apigee Sense, istenmeyen istekleri temsil edebilecek kalıpları tespit ederek API istek trafiğini analiz eder.
Kuruluşlar bu analizi kullanarak istenmeyen istekler gönderen istemcileri belirleyebilir ve ardından bu isteklere izin vermek, bunları engellemek veya işaretlemek için harekete geçebilirler. Apigee Sense ile API'leri şunları içeren istek kalıplarına karşı korumak mümkündür:
- İnsan davranışıyla uyumlu otomatik davranışlar
- Aynı IP'den yapılan kalıcı denemeler
- Olağan dışı hata oranları
- Şüpheli istemci istekleri
- Veri tarama
- Anahtar toplama
- Etkinlik serileri
- Coğrafi kalıplar
API8:2019 Yerleştirme
Tehdit açıklaması
SQL, NoSQL, XML Ayrıştırıcıları, ORM, LDAP, OS Komutları ve JavaScript gibi güvenilmeyen verilerin API isteklerine yerleştirilmesi, istenmeyen komutların yürütülmesine veya yetkisiz veri erişimine neden olabilir. Saldırganlar, doğrudan giriş, parametreler, entegre hizmetler gibi mevcut yerleştirme vektörleri üzerinden API'yi kötü amaçlı verilerle besleyerek API'nin bir çevirmene gönderilmesini bekler. Saldırganlar, güvenlik açığı tarayıcı ve fuzzer'ları kullanarak kaynak kodunu incelerken bu açıkları kolayca keşfedebilir. Başarılı bir yerleştirme, bilgilerin ifşa edilmesinin gizliliği ve veri kaybını etkileyebilir veya bazı durumlarda DoS'ye de yol açabilir.
Yerleştirme hatalarını/saldırılarını azaltmak için en iyi uygulamalar arasında şemalar, türler, dize kalıpları gibi giriş verilerinin kesin bir şekilde tanımlanması, giriş doğrulaması yapılması, sınır denetimleri ve bunların çalışma zamanında uygulanması yer alır. Apigee platformu, her bir giriş parametresi için yalnızca geçerli değerlere izin vermek amacıyla, gelen verilerin filtreler kullanılarak doğrulanmasını sağlar.
Gelen API istekleri için bir sunucu görevi gören Apigee Edge, yük yapısının sınır kontrolü olarak da bilinen kabul edilebilir bir aralıkta olup olmadığını kontrol eder. Giriş doğrulama rutininin, riskli karakter dizilerini kaldırmak ve bunları güvenli değerlerle değiştirmek amacıyla girişi dönüştürmesi için bir API proxy'si yapılandırabilirsiniz.
Normal İfade Koruması politikası
RegularExpressionProtection politikası, bir mesajdaki bilgileri (ör. URI Yolu, Sorgu Param, Başlık, Form Param, Değişken, XML Yükü veya JSON Yükü) ayıklar ve bu içeriği önceden tanımlanmış normal ifadelere göre değerlendirir. Belirtilen normal ifadelerden herhangi biri doğru olarak değerlendirilirse ileti tehdit olarak değerlendirilir ve reddedilir. Normal ifade veya kısaca normal ifade, bir dizede bir kalıp belirten dize grubudur. Normal ifadeler, içeriğin kalıplar için programlı bir şekilde değerlendirilmesini sağlar. Normal ifadeler örneğin, bir e-posta adresini değerlendirerek doğru yapılandırıldığından emin olmak için kullanılabilir.
RegularExpressionProtection'ın en yaygın kullanımı, JSON ve XML yüklerinin kötü amaçlı içerik açısından değerlendirilmesidir.
Hiçbir normal ifade tüm içeriğe dayalı saldırıları ortadan kaldıramaz ve derinlemesine savunmayı etkinleştirmek için birden fazla mekanizma birleştirilmelidir. Bu bölümde, içeriğe erişimi engellemek için önerilen bazı kalıplar açıklanmaktadır.
Apigee platformunda girişleri doğrulamak için başka yaklaşımlar da mevcuttur:
- JSONThreatProtection politikası, JSON yükünü tehditlere karşı kontrol eder.
- XMLThreatProtection politikası, XML yükünü tehditlere karşı kontrol eder.
- Parametre doğrulaması JavaScript kullanılarak yapılabilir
- Başlık doğrulaması JavaScript kullanılarak yapılabilir
İçerik Türlerini Doğrulama
İçerik türü, HTTP aracılığıyla aktarılan ve iki bölümden oluşan bir yapıya göre sınıflandırılmış bir dosyanın içeriğini ifade eder. Apigee, aşağıda açıklandığı gibi koşullu mantık kullanarak İstek ve Yanıt için içerik türlerini doğrulamanızı önerir.
- İstek: İçerik Türünü kontrol etmek için proxy akışında koşullu mantığı kullanın. Özel hata mesajı döndürmek için AssignMessage veya RaiseFault politikalarını kullanın.
- Yanıt: İçerik Türünü doğrulamak için proxy akışında koşullu mantığı kullanın. Content-Type üstbilgisi ayarlamak için AssignMessage politikasını kullanın veya özel hata mesajı döndürmek için bir Atatan ya da teşkil eden politika kullanın.
API Güvenlik Raporları
Kuruluşlar bir yönetim çerçevesi geliştirmeye çalışırken Apigee, API güvenlik raporlaması konusunda özellikler sunar. Bu raporlama, operasyon ekiplerine aşağıdaki amaçlar doğrultusunda API'lerin güvenlik özelliklerine ihtiyaç duydukları görünürlüğü sağlayarak API'lerin güvenliğini sağlamak için ihtiyaç duydukları görünürlüğü sağlar ve bu konuda yardımcı olur:
- Güvenlik politikalarına ve yapılandırma gereksinimlerine uyduğunuzdan emin olun.
- Hassas verileri dahili ve harici kötüye kullanıma karşı koruma.
- Güvenlik olaylarını proaktif olarak tanımlama, teşhis etme ve çözümleme.
API9:2019 Uygun olmayan öğe yönetimi
Tehdit Açıklaması
Ortam yönetiminin ve ortam ayrımının yetersiz olması, saldırganların güvenliği sağlanmamış API uç noktalarına erişmesine izin verir. Yönetim önlemlerinin eksikliği, kullanımdan kaldırılan kaynakların gereksiz yere açığa çıkmasına da neden olur.
Bu tehdit, tam API yaşam döngüsünü yönetmek için Apigee'nin olgunlaşmış özelliklerinden yararlanarak ve ekipler arasında iş birliğini mümkün kılan kapsamlı bir yönetim modeli oluşturabilmenizi sağlar. Aynı zamanda, güvenlik paydaşları ile API geliştiricileri arasında sorumlulukların ayrılmasını sağlar. Sınırlar ve kontroller aşağıdakiler kullanılarak yapılandırılıp sürdürülebilir:
Kuruluşlar, Ortamlar ve Revizyonlar: Yalıtım ve çalışma zamanı bağlamları aracılığıyla güvenli bir tanıtım süreci garanti eden sanal ve fiziksel kılavuzlar.
Rol Tabanlı Erişim Denetimi: Yapılandırma değişikliklerini ve tanıtım sürecini yönetme izni, yalnızca API ekiplerinizdeki gerekli kişilere verilir.
API Belgeleri için Kitle Yönetimi: Bir API, geliştirici portalında yayınlandıktan sonra hedef kitleleri yöneterek belgelerin görünürlüğünü sınırlayabilirsiniz.
Akış Kancaları: API geliştiricileri tarafından değiştirilemeyen, ayrıcalıklı koruyucular olarak yönetilebilen global politikalar ve kalıpları zorunlu kılabilirsiniz.
Güvenlik Raporlaması: Güvenlik paydaşları, yayınlanan API'lerin ve bunların destekleyici yapılandırmalarının uçtan uca görünürlüğüne sahiptir. Genel güvenlik politikalarına uygunluk, yayınlanan her API uç noktası için risk profiline göre denetlenebilir ve değerlendirilebilir.
Kuruluşlar ve Ortamlar
Apigee'deki yapılandırma yapıları, kullanıcılar ve özellikler, belirli kuruluşlar ve/veya ortamlar için kapsama alınabilir. Bu da platformda, API'lerin ve bunların destekleyici yapılandırmasının etrafına yerleştirilebilen önceden oluşturulmuş koruma sistemleri olduğu anlamına gelir.
Kuruluşlar: Kuruluş, Apigee'nin üst düzey kiracısıdır. Trafik, yapılandırma ve kullanıcılar için tam bir ayrıştırmaya sahip olmanızı sağlar. Yönetimle ilgili bir en iyi uygulama olarak, ayrı üretim ve üretim dışı kuruluşlarına sahip olmayı düşünmelisiniz. Bu uygulama üretim verilerinin, kullanıcıların ve trafiğin daha düşük ortamlarla karıştırılmasını etkili bir şekilde önler.
Ortamlar: Apigee'deki API'ler, birden fazla dağıtım durumu aracılığıyla tanıtılabilir. Her durum, bir yürütme bağlamına bağlıdır. Ortam bağlamı, promosyon işlemi sırasında taşınmaz. Bu nedenle, hassas yapılandırmanın ayrıcalığı olmayan kullanıcılara gösterilmesi engellenir.
Düzeltmeler: Düzeltmeler, API'lerin ve bağımsız özelliklerin ortamlar aracılığıyla sorunsuz bir şekilde tanıtılmasını sağlar.
Rol Tabanlı Erişim Denetimi
API9'u azaltmak için güvenlik paydaşları ile API Geliştiricileri arasındaki görevlerin net bir şekilde tanımlanıp birbirinden ayrılması gerekir. Bu belgede daha önce belirtildiği gibi Apigee, özel rollere izin atamanıza olanak tanıyan esnek Rol Tabanlı Erişim Denetimi özelliklerine sahiptir. Bu tehdit için roller; kuruluş, ortam veya daha ayrıntılı yapılandırma izinlerine sahip sınırlı ayrıcalıklara sahip olacak şekilde ayarlanabilir. Tercih edilen bir uygulama olarak, API'lerin dağıtım durumunu ortamlar aracılığıyla değiştirmek ve geliştiricilerin global güvenlik kitaplıklarına (Flow Hooks) erişememesi veya bunları değiştirmesi mümkün olmadığından emin olmak için ayrıcalıkları sınırlandırmayı göz önünde bulundurun. Bu sınırlı roller, hem eski hem de mevcut yayınlanan uç noktalarda geniş kapsamlı olan küresel güvenlik politikalarında istenmeyen değişiklikleri önler.
Audience Management for API Belgeleri
Geliştirici Portalı, API Stratejinizin başarısında çok önemli bir bileşendir. Portal, ana makineler/uç noktalar, kaynaklar, işlemler, yük şemaları ve daha fazlası dahil olmak üzere API'lerinizle ilgili tüm belgelerin kapsamlı bir envanterini tutmanıza olanak tanır. Apigee'de, API Ürün yapılarını kullanarak API'lerinizi gruplandırabilirsiniz. API Ürünleri, aynı iş ve güvenlik bağlamında (ör. hizmet planı, işletme alanı, kategori, şirket hiyerarşisi vb.) yer alan kaynak ve işlem gruplarıyla tanımlanır.
Apigee'nin Entegre Geliştirici Portalı sayesinde hedef kitleleri yöneterek API Ürünleri yayınlayabilir ve yayınlanan içeriğin görünürlüğünü kısıtlayabilirsiniz. Bu özellik, işletme ve güvenlik gereksinimlerine uygun bir içerik segmentasyon stratejisiyle uyumludur.
Akış Kancaları
API'ler için tanıtım ve yayınlama süreçleri her zaman güvenlik uygunluğu ve sertifikasyon süreçlerini içermelidir. Uygun araçları kullanan API ekiplerinin etkili olabilmesi için sorumlulukların ayrılmasını garanti eden ve çevik yayın döngülerini sürdüren korumalar oluşturabilmesi gerekir.
Apigee, Flow Hooks aracılığıyla küresel politikaları zorunlu kılarak güvenlik yönetimi görevlerini yükseltmenize olanak tanır. Bu küresel politikalar, API geliştiricileri tarafından değiştirilemeyen ayrıcalıklı korumalar olarak yönetilebilir. Böylece sorumlulukların birbirinden ayrılmasını garantiler ve aynı zamanda varsayılan güvenlik uygulayıp aynı zamanda belirli bir yürütme ortamında dağıtılan tüm API'ler için güvenlik uygunluğu sağlayarak çevikliği artırır.
Şekil: Ayrıcalıklı koruyucular Apigee'de Akış Kancaları ve Paylaşılan Akışlar üzerinden yapılandırılabilir. Güvenlik paydaşları, güvenlikle ilgili küresel politikaların korunmasından sorumludur. Bu özellikler, sorumlulukların ayrılmasını garanti eder ve çevik geliştirme yaşam döngülerini teşvik eder.
Güvenlik Raporları
Güvenlik denetimleri, kuruluşunuzun verilerini ve işletme hedeflerini korumayı amaçlayan güvenlik politikalarını değerlendirip test etmeyi amaçlar. API'ler, kapsamlı ve aynı zamanda denetlenebilir bir güvenlik yönetimi modeliyle korunması gereken standart hale getirilmiş herkese açık veya özel arayüzlerdir.
Apigee'de, tanımlanan politikalara bağlı kalınmasını sağlayan ve güvenlik ekiplerinizin aşağıdaki konularda kapsamlı analizlere dayanarak harekete geçmesini sağlayan özel güvenlik raporlarına erişebilirsiniz:
Çalışma Zamanı Trafiği: Hedef Sunucular, Sanal Ana Makineler, TLS yapılandırması, ortam başına trafik değişiklikleri ve daha fazlasıyla ilgili API trafik analizlerinin tek bir yerden sunulduğu bir yerdir.
Yapılandırma: API Proxy düzeyinde zorunlu kılınan tüm politikalar ve kuruluş veya proxy düzeylerine eklenen paylaşılan akışların yaptırım yelpazesi üzerinde uçtan uca görünürlük sağlayan API proxy'leri yapılandırması için denetleme özelliği.
Kullanıcı Etkinliği: Platform kullanıcıları tarafından gerçekleştirilen hassas işlemleri takip edin. Şüpheli etkinliği ayrıntılı olarak inceleyerek şüpheli etkinliği analiz edin.
API10:2019 Yetersiz günlük kaydı ve izleme
Tehdit Açıklaması
Yetersiz günlük kaydı, izleme ve uyarılar sayesinde devam etmekte olan saldırılar tespit edilmez. Bu nedenle, işletmeniz üzerinde etkisi olan kritik olaylar hakkında analizler elde etmek için strateji geliştirmeniz gerekir.
API'ler için etkinlik ve günlük kaydı yönetimi stratejilerinde aşağıdaki en iyi uygulamalar dikkate alınmalıdır:
- Günlük Yönetimi Politikası: Günlüklerin ayrıntısını, günlük düzeylerini, günlük bütünlüğünü, merkezi depoyu ve daha fazlasını standart hale getirip kontrol etmek için kuralları belgeleyip zorunlu kılın
- Etkinlik Yönetimi Politikası: Her etkinliğin kaynağından izlenebilir olmasını garanti eder. Ayrıca, etkinlikler kritiklik ve işletme etkisine göre kategorize edilebilmelidir
- Raporlar ve Denetimler: Güvenlik ve operasyon paydaşları, günlüklere ve etkinliklere gerçek zamanlı olarak erişebilmeli ve bunlara tepki verebilmelidir. Ayrıca paydaşlar, geçmiş verilere dayanarak tespit kalıplarını ayarlamak için güçlendirme döngüleri uygulayabilir
Apigee, kapsamlı bir etkinlik ve günlük kaydı yönetimi stratejisi oluşturmak için gerekli araçları sağlar. Bu araçlar şunlardır:
Message Logging Politikası: API trafiğinizdeki verileri veya meta verileri temel alarak günlük akışları oluşturun. Koşullu mantık ve mesaj şablonlarından yararlanarak yayın ayrıntısına karar verme esnekliğine sahip olursunuz.
Google'ın Cloud İşlem Paketi: Google'ın yüksek düzeyde ölçeklenebilir izleme ve günlük kaydı araçlarıyla kullanıma hazır entegrasyondan yararlanın.
Hizmet Açıklama Metni Politikası: Etkinlik göndermek için HTTP uç noktaları gerektiren günlük akışları için destek ekler.
Analytics: Kullanıma hazır ve/veya özelleştirilmiş raporlar aracılığıyla geçmiş trafik meta verilerine erişip bunları analiz edin. Trendlere dayalı uyarılar oluşturun, yönetin ve trafik anormalliklerini anlayın.
API İzleme: Daha önce açıklandığı gibi bu araç, kritik etkinliklere göre tetiklenebilen uyarı özellikleri sunar. Trafik günlükleri daha ayrıntılı bir şekilde analiz edilebilir ve üzerinde işlem yapılabilir.