Giao diện lập trình ứng dụng và tiêu chuẩn bảo mật

Hòa Đoàn, Phạm Thu Trang| 01/11/2018 16:31
Theo dõi ICTVietnam trên

Tuần trước Data Theorem đã giới thiệu giải pháp kiểm tra bảo mật và phát hiện API tự động đầu tiên nhằm giải quyết các mối đe dọa bảo mật API bởi các ứng dụng không cần máy chủ và ứng dụng dịch vụ vi mô.

secure shadow api

Mô hình phát triển phần mềm linh hoạt cho phép các nhóm phần mềm thực hiện các thay đổi gia tăng nhỏ hơn với tốc độ nhanh. Khi với các khung ứng dụng không cần máy chủ như Amazon Lambda, Google Cloud Functions và Azure Functions, các nhà phát triển có thể tạo và triển khai các ứng dụng hiện đại nhanh hơn và rẻ hơn mà không cần nhiều hướng dẫn của các kiến trúc sư.

Các ứng dụng mới này chia sẻ dữ liệu rộng rãi thông qua giao diện lập trình ứng dụng (API). Sự bùng nổ của các API được thúc đẩy mạnh mẽ bởi các ứng dụng di động, các SDK hiện đại và các ứng dụng IoT. Hơn nữa, sự kết hợp phát triển nhanh chóng cho các ứng dụng hiện đại này đã khiến các nhóm bảo mật khó có thể nhanh chóng phát hiện được các giao diện lập trình ứng dụng back-end và phải liên tục phân tích tình hình an ninh.

Vào năm 2018, trong hơn một nửa các vụ vi phạm dữ liệu, giao diện lập trình ứng dụng bị khai thác để trích xuất dữ liệu bất hợp pháp. Shadow API là một danh mục các API backend thường bị ẩn khỏi các công cụ bảo mật truyền thống và các cổng API. Các API chưa được khám phá này thường chạy trên cơ sở hạ tầng ngắn hạn trong đám mây công khai.

Các giám đốc kiểm soát hệ thống thông tin cần quan tâm đến các giao diện lập trình ứng dụng chứa những dữ liệu quan trọng nhưng vẫn hoạt động trên các khung ứng dụng tạm thời. Có thể khó tìm thấy các API này và các công cụ bảo mật cũ không cung cấp thông tin chi tiết cũng như có tính năng bảo vệ tốt.

secure shadow api

Rõ ràng bảo mật giao diện lập trình ưng dụng truyền thống là không đủ. Tuy nhiên, những thách thức lớn nhất liên quan đến khám phá API tự động là gì? Kiểm tra API và Khám phá API giúp liên tục bảo mật các ứng dụng như thế nào?

Trong nhiều năm từ thời đại dịch vụ web SOAP và XML, các thiết bị cổng vào là công cụ được lựa chọn để quản lý bảo mật của các API. Trong đám mây công cộng, nhà phát triển có thể xây dựng các ứng dụng API mới chỉ trong vài giây và khiến chúng biến mất nhanh chóng. Khả năng phát hiện giao diện lập trình ứng dụng mới vừa được công bố có thể được thêm vào tài khoản đám mây công khai của bạn trong AWS hôm nay và Google và Azure sắp ra mắt trong các bản phát hành trong tương lai. Ứng dụng này sẽ liên tục phát hiện các API mới và các thay đổi đối với các API hiện có.

Kiểm tra API cung cấp dịch vụ xác minh bảo mật liên tục và tự động để đảm bảo hoạt động trong thế giới thực của các API của bạn luôn phù hợp với thông số kỹ thuật. Nếu có bất kỳ sự khác biệt nào giữa thông số API so với hoạt động thực tế, cảnh báo sẽ được kích hoạt để thông báo cho khách hàng về các vi phạm bảo mật tiềm ẩn. Tùy thuộc vào mức độ nghiêm trọng của vấn đề API được tìm thấy, nhiệm vụ bảo mật khẩn cấp, quan trọng hoặc chủ động sẽ được tạo ra để hướng dẫn khách hàng cách khắc phục tốt nhất vấn đề.

Điều gì khiến cho các giải pháp API của Data Theorem nổi bật trên thị trường?

Data Theorem cung cấp dịch vụ mới mà không cần sử dụng bất kỳ kỹ thuật cũ nào như thêm các yếu tố vào hệ điều hành (Linux, Windows) hoặc Container (Docker). Dịch vụ không yêu cầu các điểm ngắt mạng như tường lửa ứng dụng web (WAF) cũng như cổng API của bên thứ ba.

secure shadow api

Các dịch vụ bảo mật API mới này được xây dựng cho kiến trúc ứng dụng hiện đại và hoạt động tốt ngay cả khi cơ sở hạ tầng cơ bản không bền như các ứng dụng không cần máy chủ (Amazon Lambda, Google Cloud Functions, Azure Functions). Các sản phẩm API mới của Data Theorem liên tục phát hiện và cảnh báo cho tổ chức các sai lầm trong API của họ trong môi trường ứng dụng thay đổi nhanh chóng. Khả năng tìm kiếm các Shadow API của Data Theorem làm cho các sản phẩm mới này thêm phần độc đáo.

Data Theorem kêu gọi các công ty đổi mới và sáng tạo hàng đầu trên thế giới sử dụng dịch vụ của mình bao gồm Evernote, Netflix, RingCentral và WildFlower Health.

Giá khởi điểm của ứng dụng kiểm tra API bắt đầu ở mức 300 đôla/năm. API Discover miễn phí khi quét ban đầu để tìm và liệt kê tất cả các API được lưu trữ trên đám mây với đặc điểm Swagger hoặc OpenAPI 3.0 và có thể được cấp phép liên tục trên mỗi tài khoản đám mây.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Giao diện lập trình ứng dụng và tiêu chuẩn bảo mật
POWERED BY ONECMS - A PRODUCT OF NEKO