Bảo vệ API: Làm thế nào để xây dựng pháo đài xung quanh dữ liệu của bạn

Nếu dữ liệu là một loại “dầu mới” thì API là đường ống dẫn dầu chảy qua. Nếu chúng không an toàn, sự cố rò rỉ  có thể gây thiệt hại nặng nề cho doanh nghiệp. Trên thực tế, người ta ước tính rằng API mất an toàn gây ra tổn thất từ 41 tỷ đến 75 tỷ USD hàng năm.

Đảm bảo API được bảo vệ không chỉ là việc tích vào ô vuông. Điều này đòi hỏi một hệ thống phòng thủ đa tầng bắt đầu từ quản lý API tập trung và bao gồm các biện pháp để xây dựng một pháo đài vững chắc xung quanh dữ liệu. Trước khi chúng ta tìm hiểu về một số phương pháp hiệu quả nhất, hãy xem những gì có thể xảy ra khi API không được bảo vệ ở mức cần thiết.

Một nhà bán lẻ bị lỗ 1 triệu đô la do API không an toàn

Câu chuyện sau đây được chia sẻ trong một hội thảo trực tuyến: sử dụng API nội bộ có sẵn trong  với các biện pháp bảo mật tối thiểu, một nhà bán lẻ nổi tiếng đã chọn API tính thuế yêu cầu nâng cấp để tạo trải nghiệm người dùng tốt hơn.

Một phiên bản mới của API đã được tích hợp đầy đủ chỉ trong vài tuần và được đón nhận nồng nhiệt nhờ trải nghiệm trực quan, mượt mà, dễ sử dụng mà nó mang lại.

Thật không may, vào ngày hầu hết các nhà bán lẻ tung ra các sản phẩm mới, doanh số bán hàng trực tuyến vẫn thường bùng nổ của cửa hàng nay đã giảm mạnh xuống mức 0. API mới không phản hồi và không thể xử lý đơn đặt hàng.

Sau hai giờ cố gắng khắc phục sự cố, các nhóm IT phát hiện ra API đã bị quá tải bởi số lượng yêu cầu quá lớn.

Những yêu cầu này không đến từ một hacker bên ngoài mà là từ một máy tính để bàn trong bộ phận kế toán của nhà bán lẻ. Khi đang chạy báo cáo cuối tháng, máy tính này đã gửi hàng trăm yêu cầu tới các API làm tê liệt việc sử dụng nó.

Hai giờ ngừng hoạt động đó đã khiến 1 triệu USD doanh thu bị mất đi.

Quản lý API cần phải tính đến việc bảo vệ API

Ví dụ thực tế trên là một minh chứng cho hai yếu tố:

• Ngay cả khi các API không được tiếp xúc bên ngoài, chúng vẫn cần được bảo mật mạnh mẽ để đảm bảo dữ liệu dữ liệu được bảo vệ.
• Hậu quả của việc thiếu quản lý API có thể phải trả giá bằng hàng triệu đô la.

YouTube link: https://youtu.be/bE0S-VzZF1k

Ý nghĩa của câu chuyện là bảo mật API không phải là một lựa chọn –  là điều cần thiết. Điều quan trọng đối với các nhà phát triển API là phải cung cấp tài liệu mà các nhà phát triển ứng dụng bên nội và bên ngoài cần mà không gặp phải những quy trình phức tạp hoặc khó khăn. Điều này có thể bao gồm các hướng dẫn về cách sử dụng API hiệu quả hoặc chi tiết về khả năng tự sử dụng và quản lý API.

Tương tự, mức độ quan tâm đến bảo mật có thể tạo ra hoặc phá vỡ giá trị của API đối với doanh nghiệp. Vì vậy, khi nói đến các API, chính sách liên quan đến việc bảo vệ dữ liệu phải được ưu tiên hàng đầu.

Như thế nào là quản lý API hiệu quả?

Một trong những yếu tố cơ bản của quản lý API đúng đắn là có một phương pháp đồng nhất trong việc thực thi các chính sách. Bạn sẽ muốn bảo vệ các API ở một vị trí trung tâm, để có thể tạo ra một hệ thống phòng thủ nhất quán, toàn diện, dễ dàng cập nhật và theo dõi.

Với nền tảng này, bạn có thể tập trung triển khai một loạt biện pháp hỗ trợ bảo mật API như:

• Triển khai tiêu chuẩn như OAuth2.0 để xác thực người dùng trước khi truy cập API
• Cấu hình kiểm soát quyền truy cập ủy quyền sao cho chỉ quản trị viên mới có thể xóa  bản ghi, trong khi người dùng thông thường có thể đọc hoặc viết
• Cấu hình sử dụng chứng chỉ HTTPS và SSL để mã hóa dữ liệu truyền qua mạng
• Bắt buộc người dùng xác thực lại sau một khoảng thời gian nhất định
• Loại bỏ thông tin nhạy cảm, chẳng hạn như che đi 12 chữ số đầu tiên của thẻ tín dụng trong các phản hồi API
• Thiết lập IP Whitelist chỉ cho phép truy cập vào các địa chỉ IP cụ thể
• Tạo thông báo lỗi để tránh chia sẻ thông tin doanh nghiệp nhạy cảm
• Thiết lập giới hạn để ngăn chặn số lượng yêu cầu API quá mức
• Xác thực các schemas để bảo vẹ  toàn vẹn của dữ liệu API
• Sử dụng các tính năng của WAF để bảo vệ khỏi các mối đe dọa như SQL injection và các mối đe dọa ứng dụng web khác
• Cấu hình ghi các chỉ số chính của API và tích hợp nó với các công cụ theo dõi để phân tích theo thời gian thực
• Cấu hình các tuyến đường cho các yêu cầu API đến các dịch vụ backend khác nhau dựa trên phiên bản API được chỉ định trong URL hoặc tiêu đề.
• Tự động chèn các tiêu đề bảo mật để bảo vệ khỏi các cuộc tấn công XSS.
• Cung cấp các bản cập nhật thường xuyên để đảm bảo tất cả các phần phụ thuộc của bên thứ ba đều được bảo mật

Quản lý hệ sinh thái API của bạn với Axway’s Amplify Platform 

Khi số lượng API và các cổng liên kết của chúng tăng lên, độ phức tạp của API cũng tăng theo – thường  cấp số nhân.

Axway’s Amplify platform có thể giúp bạn quản lý hệ sinh thái API hiệu quả hơn.

Amplify là một nền tảng quản lý API cung cấp một cách tiếp cận toàn cầu đối với quản lý API. Với các khả năng tích hợp sẵn cho kiểm soát truy cập, bảo mật dữ liệu, giảm thiểu rủi ro và nhiều hơn nữa, Amplify được thiết kế để đảm bảo các API của bạn tuân thủ các tiêu chuẩn bảo mật cao nhất dựa trên cơ sở hạ tầng kỹ thuật số của bạn. Nó cung cấp khả năng nhìn thấy và kiểm soát xuất sắc mà các doanh nghiệp cần để phát triển và cung cấp các API an toàn nhanh chóng.

Một ví dụ thực tế khác:

Một nhà cung cấp nền tảng dữ liệu cho lĩnh vực chăm sóc sức khỏe, năng lượng và tài chính đang phải đối mặt với bối cảnh API ngày càng phức tạp. Nhiều cổng API nội tuyến dẫn đến mối lo ngại về bảo mật ngày càng tăng.

Trong nỗ lực để tránh sự trùng lặp API (AAPI duplication) và khuyến khích việc sử dụng lại, các nhóm IT đã chọn nền tảng Amplify, qua đó cung cấp một cửa sổ duy nhất để quan  tất cả các API và kích hoạt bảo mật API mạnh mẽ, tuân thủ quy định và cung cấp insight kinh doanh.

Tìm hiểu thêm một số khách hàng thành công với  Amplify API Management Platform.