ការណែនាំអំពីសុវត្ថិភាព API

ការណែនាំអំពីសុវត្ថិភាព API

សេចក្តីផ្តើម

APIs មានសារៈសំខាន់ក្នុងការបង្កើនការច្នៃប្រឌិតនៅក្នុងសេដ្ឋកិច្ចឌីជីថលរបស់យើង។
 
Garner, Inc ព្យាករណ៍ថានៅឆ្នាំ 2020 ច្រើនជាង 25 ពាន់លាន អ្វីៗនឹងភ្ជាប់ទៅអ៊ីនធឺណិត។
 
នោះតំណាងឱ្យឱកាសចំណូលបន្ថែម 300 ពាន់លាន $ បញ្ឆេះដោយ API ។ 
 
ប៉ុន្តែ APIs លាតត្រដាងនូវផ្ទៃវាយប្រហារដ៏ទូលំទូលាយសម្រាប់ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។.
 
នោះដោយសារតែ APIs បង្ហាញតក្កវិជ្ជាកម្មវិធី និងទិន្នន័យរសើប។
 
អត្ថបទនេះស្វែងយល់ពីរបៀបការពារ APIs ។
 
យើងនឹងពិភាក្សាអំពី REST APIs និង SOAP APIs។
 
យើងនឹងពិនិត្យមើល OWASP API Top 10 ។
 
លើសពីនេះ យើងនឹងនិយាយអំពីការអនុវត្តល្អបំផុតដើម្បីធានា APIs របស់អ្នក។

តើ API Economy ជាអ្វី?

សេដ្ឋកិច្ច API លេចឡើងនៅពេលដែល APIs ក្លាយជាផ្នែកមួយនៃគំរូអង្គការ។
 
APIs គឺជាអ្នកបង្កើតយុទ្ធសាស្ត្រសម្រាប់គំរូអាជីវកម្មអនឡាញជាច្រើន។ 
 
ជាឧទាហរណ៍ Amazon គឺច្រើនជាងអ្នកលក់រាយតាមអ៊ីនធឺណិត វាក៏ជាច្រកផ្លូវសម្រាប់ពាណិជ្ជករដ៏ពេញនិយមផងដែរ។
 
វេទិការបស់ក្រុមហ៊ុន Amazon បង្កើតនៅលើ APIs ដែលអនុញ្ញាតឱ្យមានភាពងាយស្រួលក្នុងការចាប់ផ្តើមនៃពាណិជ្ជករថ្មី។ 
 
ធនាគារមានហេដ្ឋារចនាសម្ព័ន្ធទូទាត់ និងកន្លែងទូទាត់ប្រាក់ផ្អែកលើ APIs ដែលបានកំណត់យ៉ាងល្អអស់ជាច្រើនទសវត្សរ៍មកហើយ។
 
APIs គួរតែជាផ្នែកសំខាន់មួយនៃយុទ្ធសាស្រ្តអាជីវកម្មរបស់អ្នក។

សុវត្ថិភាព API បណ្ដាញ

Web APIs ភ្ជាប់ផ្នែកម៉ាស៊ីនភ្ញៀវនៃកម្មវិធីជាមួយផ្នែកខាងម៉ាស៊ីនមេ។
 
សុវត្ថិភាពគេហទំព័រ API រួមបញ្ចូល ប៉ុន្តែមិនកំណត់ចំពោះការគ្រប់គ្រង និងឯកជនភាព។ 
 
ការវាយប្រហារលើកម្មវិធីមួយអាចរំលងកម្មវិធីភាគីអតិថិជន ហើយផ្តោតលើ APIs ។
 
Microservices ជាញឹកញាប់ប្រើ APIs ព្រោះវាអាចរកបានតាមរយៈបណ្តាញសាធារណៈ។
 
APIs អាចមានភាពរសើបចំពោះការបដិសេធចំពោះឧប្បត្តិហេតុប្រភេទ DDOS នៃសេវាកម្ម។ 
 
REST API Security ទល់នឹង SOAP API Security 
 
ការអនុវត្ត API មានពីរប្រភេទសំខាន់ៗ៖
 
  1. REST (ការផ្ទេររដ្ឋតំណាង)។ 
 
      2. SOAP (ពិធីការចូលប្រើវត្ថុសាមញ្ញ)។

REST API សុវត្ថិភាព

Transport Layer Security (TLS) គាំទ្រការអ៊ិនគ្រីបតាមរយៈ REST APIs ដែលទំនាក់ទំនងតាមរយៈ HTTP ។
 
TLS អ៊ិនគ្រីប និងផ្ទៀងផ្ទាត់ដើម្បីធានាថាគ្មានភាគីទីបីអាចអានទិន្នន័យដែលបានផ្ញើនោះទេ។
 
ពួក Hacker ដែលព្យាយាមលួចកាតឥណទានរបស់អ្នក។ នឹងមិនអាចចូលប្រើទិន្នន័យរបស់អ្នកបានទេ។ 
 
REST APIs ប្រើ JavaScript Object Notation (JSON)។ វាលឿនជាងក្នុងការប្រើប្រាស់ REST APIs ជាង SOAP APIs។ ពួកគេមិនចាំបាច់រក្សាទិន្នន័យ ដែលធ្វើឲ្យពួកគេមានប្រសិទ្ធភាពជាង។

SOAP API, សុវត្ថិភាព

SOAP APIs ផ្តល់នូវយន្តការសុវត្ថិភាពដែលភ្ជាប់មកជាមួយហៅថា Web Services Security (WS Security)។ ពួកគេពិនិត្យមើលការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាត។ ពួកគេប្រើការអ៊ិនគ្រីប XML ហត្ថលេខា XML និងសញ្ញាសម្ងាត់ SAML ។

SOAP គឺជាវិធីសាស្រ្តត្រឹមត្រូវសម្រាប់ការកំណត់ស្តង់ដារ និងការអ៊ិនគ្រីបសេវាកម្មគេហទំព័រ។ SOAP គឺជាជម្រើសប្រសើរជាង REST ។ 

SOAP កំណត់ចំពោះ XML ប៉ុន្តែ REST អាចគ្រប់គ្រងទ្រង់ទ្រាយទិន្នន័យណាមួយ។ JSON ងាយយល់ជាង XML ។ ការប្រើប្រាស់ REST សម្រាប់ការដឹកជញ្ជូនទិន្នន័យសន្សំប្រាក់លើថ្លៃដើមហេដ្ឋារចនាសម្ព័ន្ធកុំព្យូទ័រ។

ការគ្រប់គ្រង API

ការគ្រប់គ្រង API ជួយអាជីវកម្មបង្កើតធនធានឌីជីថលរបស់ពួកគេ។ 

ខាងក្រោមនេះគឺជាវិធីមួយចំនួនដើម្បីគ្រប់គ្រងសុវត្ថិភាព API៖

1. ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

HTTP Basic Authentication គឺជាវិធីសាស្ត្រសម្រាប់ម៉ាស៊ីនភ្ញៀវក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយ API Gateway។

2. ការផ្ទៀងផ្ទាត់ OAuth2.0

យន្តការស្តង់ដារសម្រាប់ការអនុញ្ញាតគឺ OAuth 2.0 ។
 
ក្របខ័ណ្ឌការអនុញ្ញាត OAuth 2.0 អនុញ្ញាតឱ្យភាគីទីបីទទួលបានសិទ្ធិចូលប្រើសេវាកម្ម HTTP ដែលមានកម្រិត។
 
វាដំណើរការដោយការបើកកម្មវិធីភាគីទីបីដើម្បីទទួលបានការចូលប្រើប្រាស់ក្នុងនាមខ្លួនវា។ 
 
 នៅក្នុងបរិបទនៃលំហូរការផ្ទៀងផ្ទាត់ OAuth មានជម្រើសផ្សេងគ្នាមួយចំនួន។
 
លំហូរ OAuth ដែលគាំទ្ររួមមាន:
 
  • លំហូរ​ពាក្យ​សម្ងាត់​ឈ្មោះ​អ្នក​ប្រើ៖ ជា​កន្លែង​ដែល​កម្មវិធី​មាន​សិទ្ធិ​ចូល​ប្រើប្រាស់​ព័ត៌មាន​សម្ងាត់​អ្នក​ប្រើ​ដោយ​ផ្ទាល់។
 
  • លំហូរម៉ាស៊ីនមេគេហទំព័រ៖ ដែលម៉ាស៊ីនមេអាចការពារការសម្ងាត់របស់អ្នកប្រើប្រាស់។
 
  • លំហូរភ្នាក់ងារអ្នកប្រើប្រាស់៖ ប្រើដោយកម្មវិធីដែលមិនអាចរក្សាទុកការសម្ងាត់របស់អ្នកប្រើប្រាស់បាន។
 
នៅក្នុងការផ្ទៀងផ្ទាត់ OAuth2.0 អ្នកប្រើប្រាស់នឹងផ្ញើលិខិតសម្គាល់នៅក្នុងផ្នែកសំណើ។ ដូចជាការផ្ទៀងផ្ទាត់ជាមូលដ្ឋាន ប៉ុន្តែក៏ណែនាំថូខឹនផងដែរ។ ថូខឹនរក្សាទុកនៅផ្នែកខាងម៉ាស៊ីនមេ។ សញ្ញាសម្ងាត់ដូចគ្នានេះហៅទៅសេវាគ្រប់ចំនួនដងរហូតដល់វាផុតកំណត់។ អ្នក​ប្រើ​អាច​ធ្វើ​ការ​ថ្មី​ដើម្បី​ទទួល​បាន​អ្វី​ថ្មី។
 
បញ្ហាគឺវិធីសាស្ត្រនេះបង្កើតសញ្ញាសម្ងាត់កាន់តែច្រើន។ សញ្ញាសម្ងាត់ដែលផុតកំណត់នៅលើម៉ាស៊ីនមេនឹងបង្កើនការផ្ទុកម៉ាស៊ីនមេ។

3. JSON Web Token Authentication

JWT Token គឺជា JSON Object និង base64 ដែលត្រូវបានអ៊ិនកូដ និងចុះហត្ថលេខាជាមួយ key ចែករំលែក។ JWT ធានាថាមានតែអ្នកប្រើប្រាស់ដែលបានកំណត់ប៉ុណ្ណោះដែលអាចបង្កើតនិមិត្តសញ្ញាតែមួយគត់។ JWTs មិនត្រូវបានអ៊ិនគ្រីបទេ។ អ្នក​ណា​ដែល​មាន​សិទ្ធិ​ចូល​ប្រើ​សញ្ញា​សម្ងាត់​នឹង​ទទួល​បាន​ទិន្នន័យ។

អត្ថប្រយោជន៍នៃ JWT

  • សញ្ញាសម្ងាត់មានព័ត៌មានទាំងអស់ដែលចាំបាច់ដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់។
  • វាងាយស្រួលក្នុងការជៀសវាងការពឹងផ្អែកលើម៉ាស៊ីនមេ និងមូលដ្ឋានទិន្នន័យដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវកណ្តាល។
  • ការផ្ទៀងផ្ទាត់រួមបញ្ចូលការពិនិត្យមើលហត្ថលេខា និងកត្តាជាច្រើនទៀត។
  •  JWT គឺជានិមិត្តសញ្ញាអាយុកាលមធ្យមដែលមានកាលបរិច្ឆេទផុតកំណត់ដែលបានបញ្ជាក់ចន្លោះពីពីរបីសប្តាហ៍ទៅយូរជាងនេះ។
  • ការធ្វើមាត្រដ្ឋានលើផ្នែករឹងម៉ាស៊ីនមេបណ្តាញសហសម័យគឺងាយស្រួល…

4. ហត្ថលេខា HTTP

នៅក្នុង JWT បឋមកថាអនុញ្ញាតមានមូលដ្ឋាន 64 បានអ៊ិនកូដ និងចុះហត្ថលេខា។ ប្រសិនបើអ្នកណាម្នាក់ទទួលបាននិមិត្តសញ្ញា JWT និងស្នើសុំ ពួកគេអាចធ្វើបច្ចុប្បន្នភាពតួសំណើ HTTP ។ ហត្ថលេខា HTTP អនុញ្ញាតឱ្យអតិថិជនចុះហត្ថលេខាលើសារ HTTP ។ ដូច្នេះ អ្នកផ្សេងទៀតអាចប៉ះសំណើនៅលើបណ្តាញ។

Amazon, Facebook និង Google ប្រើហត្ថលេខា HTTP ។ នៅឆ្នាំ 2016 ការចុះហត្ថលេខា HTTP Messages បានចាប់ផ្តើមអនុវត្ត។ វាជាការងារថ្មីដែលកំពុងដំណើរការ។ យោងតាមការបញ្ជាក់នេះ អត្ថប្រយោជន៍នៃការចុះហត្ថលេខាលើសារ HTTP សម្រាប់គោលបំណងនៃភាពត្រឹមត្រូវនៃសារពីចុងដល់ចុង។ ម៉ាស៊ីនភ្ញៀវអាចផ្ទៀងផ្ទាត់ជាមួយយន្តការដូចគ្នាដោយមិនចាំបាច់មានរង្វិលជុំច្រើន។

ការយល់ដឹងអំពីភាពងាយរងគ្រោះសុវត្ថិភាព API

OWASP តែងតែជាអាជ្ញាធរឈានទៅរកបញ្ហាសុវត្ថិភាពទូទៅបំផុត និងអាក្រក់បំផុតដែលបានរកឃើញនៅក្នុងកម្មវិធីដែលយើងប្រើប្រចាំថ្ងៃ ហើយវាត្រូវបានបម្រុងទុកដោយទិន្នន័យសម្បូរបែប។

ប្រសិនបើ​មាន​មូលដ្ឋាន​ណាមួយ​សម្រាប់​អង្គការ​ណា​ដែល​គួរ​ខិតខំ នោះ​វា​នឹង​យកឈ្នះ​លើ​រឿងនេះ​ OWASP API Security Top 10 បានរាយខាងក្រោម។

OWASP API សុវត្ថិភាព TOP 1O

API1៖ ការអនុញ្ញាតកម្រិតវត្ថុដែលខូច

API2៖ ការផ្ទៀងផ្ទាត់ដែលខូច

API3៖ ការបង្ហាញទិន្នន័យច្រើនពេក

API4៖ កង្វះធនធាន និងការកំណត់អត្រា

API5៖ ការផ្ទៀងផ្ទាត់កម្រិតមុខងារខូច

API6៖ កិច្ចការធំ

API7៖ ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវសន្តិសុខ

API8៖ ការចាក់ថ្នាំ

API9៖ ការគ្រប់គ្រងទ្រព្យសកម្មមិនត្រឹមត្រូវ

API10៖ ការកត់ត្រា និងការត្រួតពិនិត្យមិនគ្រប់គ្រាន់

ការអនុវត្តល្អបំផុតសុវត្ថិភាព API

នេះគឺជាវិធីសាមញ្ញបំផុតមួយចំនួនដើម្បីកែលម្អសុវត្ថិភាព API៖

 

  1. បង្កើតភាពងាយរងគ្រោះរបស់អ្នក។ 

 

មានតម្រូវការក្នុងការរក្សាប្រព័ន្ធប្រតិបត្តិការ បណ្តាញ និងសមាសធាតុ API ឱ្យទាន់សម័យ។ រកមើលគុណវិបត្តិដែលអាចឱ្យអ្នកវាយប្រហារចូលប្រើ APIs របស់អ្នក។ Sniffers រកឃើញបញ្ហាសុវត្ថិភាព និងតាមដានការលេចធ្លាយទិន្នន័យ។

 

  1. ដាក់កូតានិងបិទបើក។

 

ដាក់កូតាអំពីថាតើ APIs របស់អ្នកហៅញឹកញាប់ប៉ុណ្ណា ហើយពិនិត្យមើលការប្រើប្រាស់ក្នុងប្រវត្តិ។ ការប្រើ API មិនត្រឹមត្រូវ ជាធម្មតាត្រូវបានបង្ហាញដោយការហៅទូរស័ព្ទកើនឡើង។ 

 

  1. ប្រើច្រក API ដើម្បីភ្ជាប់ទៅ API របស់អ្នក។ 

 

API gateways គឺជាចំណុចអនុវត្តចម្បងសម្រាប់ចរាចរ API ។ វានឹងអនុញ្ញាតឱ្យអ្នកត្រួតពិនិត្យ និងវិភាគពីរបៀបដែល APIs របស់អ្នកផ្ទៀងផ្ទាត់។

 

  1. ប្រើសញ្ញាសម្ងាត់។

 

បង្កើតអត្តសញ្ញាណដែលអាចទុកចិត្តបាន។ ប្រើសញ្ញាសម្ងាត់ជាមួយអត្តសញ្ញាណទាំងនោះ ដើម្បីគ្រប់គ្រងការចូលប្រើសេវាកម្ម និងធនធាន។

 

  1. ប្រើការអ៊ិនគ្រីប និងហត្ថលេខាឌីជីថល។

 

អ៊ិនគ្រីបទិន្នន័យរបស់អ្នកដោយប្រើ TLS ។ ប្រើប្រាស់ហត្ថលេខាឌីជីថលដើម្បីផ្ទៀងផ្ទាត់ថាមានតែបុគ្គលដែលមានការអនុញ្ញាតប៉ុណ្ណោះដែលអាចចូលប្រើ និងកែសម្រួលទិន្នន័យបាន។

 

  1. ផ្តោតលើសន្តិសុខ។

 

APIs មិនគួរត្រូវបានចាត់ទុកថាជាចៃដន្យទេ។ ស្ថាប័ននានាប្រឈមនឹងការបាត់បង់យ៉ាងច្រើនដោយការបរាជ័យក្នុងការធានា APIs ។ ជាលទ្ធផល ធ្វើឱ្យសុវត្ថិភាពជាអាទិភាព ហើយបញ្ចូលវាទៅក្នុង APIs របស់អ្នក។

 

  1. ធ្វើឱ្យការបញ្ចូលមានសុពលភាព។

 

កុំបញ្ជូនទិន្នន័យទៅចំណុចបញ្ចប់តាមរយៈ API ដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់វាជាមុន។

 

  1. ប្រើការកំណត់អត្រាការប្រាក់។ 

 

ការកំណត់បន្ទាប់មកសំណើអាចជួយក្នុងការការពារការវាយប្រហារបដិសេធសេវាកម្ម។

 

  1. ប្រើប្រព័ន្ធផ្ទៀងផ្ទាត់ និងការអនុញ្ញាតដ៏រឹងមាំ។ 

 

នៅពេលដែល APIs មិនអនុវត្តការផ្ទៀងផ្ទាត់ ការផ្ទៀងផ្ទាត់ដែលខូចនឹងកើតឡើង។

ប្រើប្រាស់បច្ចេកវិទ្យាចូល និងការអនុញ្ញាតដែលត្រូវបានបង្កើតឡើងយ៉ាងល្អ ដូចជា OAuth2.0 និង OpenID Connect។

សន្និដ្ឋាន

យើងបានពិនិត្យភាពងាយរងគ្រោះ OWASP API Security Top 10 ដើម្បីការពារ API ឱ្យកាន់តែប្រសើរឡើង។
 
យើងអាចគ្រប់គ្រងការគ្រប់គ្រងហានិភ័យដោយប្រើប្រាស់បច្ចេកទេសផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអនុញ្ញាតដែលបានបង្កើតឡើងយ៉ាងល្អ។
 
ឧទាហរណ៍ HTTP Signatures ដែល Amazon, Facebook និង Google ទាំងអស់ប្រើ។
 
យើងបានពិនិត្យមើលការអនុវត្តល្អបំផុតរបស់ API ផ្សេងទៀត រួមទាំងការប្រើប្រាស់ថូខឹន និងការអ៊ិនគ្រីប។
 
យើងក៏បានប៉ះលើហត្ថលេខាឌីជីថល ក៏ដូចជាសារៈសំខាន់នៃសុពលភាពនៃការបញ្ចូល។
 
អានអត្ថបទរបស់យើងអំពី API Security Practices Best Practices in 2022 សម្រាប់ព័ត៌មានបន្ថែមអំពី OWASP API Security Top 10 ។
ផ្ទាំងបដាបង្រួបបង្រួមសន្តិសុខតាមអ៊ីនធឺណិតជាមួយនឹងការរំលេចព័ត៌មានថ្មីៗ

ទំនិញកីឡារបស់ Dick ទទួលរងការបំពានទិន្នន័យ X (អតីត Twitter) ត្រូវបានហាមឃាត់នៅក្នុងប្រទេសប្រេស៊ីល៖ ការប្រមូលផ្តុំសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នក

ទំនិញកីឡារបស់ Dick ទទួលរងការរំលោភលើទិន្នន័យ X (អតីត Twitter) ត្រូវបានហាមឃាត់នៅក្នុងប្រទេសប្រេស៊ីល៖ ការប្រមូលផ្តុំសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់អ្នកដាក់ពង្រាយ GoPhish Phishing Platform នៅលើអ៊ូប៊ុនទូ 18.04 ទៅក្នុង AWS Dick's

អាន​បន្ថែម "
បដាបង្រួបបង្រួមព័ត៌មានអំពីសុវត្ថិភាពអ៊ីនធឺណិតដែលមានចំណងជើង

ស្ថាបនិក Telegram ត្រូវបានចាប់ខ្លួននៅប្រទេសបារាំង ភាពងាយរងគ្រោះ IPv6 ធ្វើឱ្យប្រព័ន្ធ Windows ត្រូវបានលាតត្រដាង៖ ការប្រមូលផ្តុំសន្តិសុខតាមអ៊ីនធឺណិតរបស់អ្នក

ស្ថាបនិក Telegram ត្រូវបានចាប់ខ្លួននៅប្រទេសបារាំង ភាពងាយរងគ្រោះ IPv6 ធ្វើឱ្យប្រព័ន្ធ Windows ត្រូវបានលាតត្រដាង៖ ស្ថាបនិក Telegram Roundup របស់អ្នកត្រូវបានចាប់ខ្លួននៅប្រទេសបារាំង Pavel Durov ដែលជាស្ថាបនិក និង

អាន​បន្ថែម "
បដាព័ត៌មានសុវត្ថិភាពតាមអ៊ីនធឺណិតលើការគំរាមកំហែងសូន្យថ្ងៃ និងភាពងាយរងគ្រោះរបស់ឧបករណ៍។

ក្រុមហ៊ុន Microsoft ព្រមានអំពី Office Zero-Day ដ៏សំខាន់ ឧបករណ៍ Google Pixel ត្រូវបានដឹកជញ្ជូនជាមួយនឹងភាពងាយរងគ្រោះសំខាន់ៗ៖ ការប្រមូលផ្តុំសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់អ្នក

ក្រុមហ៊ុន Microsoft ព្រមានពី Office Zero-Day ដ៏សំខាន់ ឧបករណ៍ Google Pixel ត្រូវបានដឹកជញ្ជូនជាមួយនឹងភាពងាយរងគ្រោះដ៏សំខាន់៖ ការប្រមូលផ្តុំសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់អ្នក ក្រុមហ៊ុន Microsoft ព្រមានពីការិយាល័យសំខាន់ Zero-Day ក្រុមហ៊ុន Microsoft បានបន្លឺឡើង

អាន​បន្ថែម "