ແອັບພລິເຄຊັນໃນປັດຈຸບັນຖືກພັດທະນາໃຫ້ມີຄວາມຊັບຊ້ອນແລະທັນສະໄໝຫຼາຍຍິ່ງຂຶ້ນ
ທັງຍັງສາມາດເຊື່ອມຕໍ່ກັບລະບົບຕ່າງໆ ເພື່ອປະສານການເຮັດວຽກງານໄດ້ຢ່າງສະດວກແລະວ່ອງໄວ
ສົ່ງຜົນໃຫ້ API ຖືກໃຊ້ງານເປັນຈຳນວນຫລາຍ
ບົດຄວາມນີ້ F5 ໄດ້ອອກມາເປີດເຜີຍເຖິງຄວາມສ່ຽງດ້ານຄວາມຫມັ້ນຄົງປອດໄພຂອງ
API ຕາມ OWAP
API Top 10 ແລະແນວທາງປະຕິບັດທີ່ດີທີ່ສຸດໃນການປ້ອງກັນ API ຈາກໄພຄຸກຄາມໄຊເບີ
API ເຕີບໂຕຢ່າງກ້າວກະໂດດ
ສ່ຽງຖືກແຮັກເກີໂຈມຕີຫລາຍຂຶ້ນ
ປະຕິເສດບໍ່ໄດ້ວ່າເກືອບທຸກອົງກອນໃນປັດຈຸບັນຕ່າງມຸ້ງໜ້າເຮັດ
Digital
Transformation ກັນທັງສິ້ນ ແອັບພຣິເຄຊັນຖືກພັດທະນາໃຫ້ມີຄວາມທັນສະໄໝດ້ວຍສະຖາປັດຕະຍະກຳແບບ
Microservices
ເຊິ່ງແບ່ງຟັງຊັນການເຮັດວຽກອອກເປັນຫຼາຍໆ
ສ່ວນ ໃນຂະນະທີ່ Developer ກໍແບ່ງອອກເປັນຫຼາຍທີມຫລາຍຂຶ້ນ
ເພື່ອໃຫ້ອອກຟີເຈີແລະຟັງຊັນການໃຊ້ງານໃໝ່ໆ ສູ່ຕະຫລາດໄດ້ຢ່າງວ່ອງໄວ ລວມເຖິງການປັບໄປໃຊ້
Hybrid
ແລະ Multi-cloud ຂອງອົງກອນເຫຼົ່ານີ້ ລ້ວນເຊື່ອມຕໍ່ແລະປະສານການເຮັດວຽກຜ່ານທາງ API ສົ່ງຜົນໃຫ້ລະບົບ API ເຕີບໂຕຢ່າງກ້າວກະໂດດ
ຈາກການສຳຫຼວດພົບວ່າຫລາຍກວ່າ 90% ຂອງທຣາຟຟິກເທິງອິນເຕີເນັດ
ຖືກຈຳແນກເປັນການຮັບສົ່ງຂໍ້ມູນ API (JSON/SML) ຈຶ່ງເປັນສາເຫດທີ່ເຮັດໃຫ້ອາດຊະຍາກອນໄຊເບີເລີ່ມຫາຊ່ອງໂຫວ່ແລະໂຈມຕີລະບົບ
API
ຫລາຍຂຶ້ນ ການຂາດຄວາມຕະໜັກຮູ້ແລະການປ້ອງກັນ
API
ອາດກໍ່ໃຫ້ເກີດເຫດ Data Breach ຫລືຂໍ້ມູນຮົ່ວໄຫຼສູ່ສາທາລະນະໄດ້
ໂດຍສາເຫດອັນດັບໜຶ່ງຂອງການເຈາະລະບົບ API ຄື No Authentication ຕາມມາດ້ວຍ Bad
Authentication ແລະ Bad Authorization
ໃນປີ 2019 OWASP ໄດ້ທຳການວິໄຈແລະສຳຫຼວດຄວາມສ່ຽງດ້ານຄວາມຫມັ້ນຄົງປອດໄພຂອງ API ຈຳແນກອອກເປັນ 10 ອັນດັບ ດັ່ງນີ້:
API1: Broken
Object Level Authorization (BOLA)
ການເຜີເປີດໃຫ້ເຂົ້າເຖິງຂໍ້ມູນໂດຍໃຊ້ Object ID ເຊິ່ງສ່ຽງຖືກແຮັກເກີເຂົ້າເຖິງຂໍ້ມູນອື່ນໆ ຜ່ານທາງ Object ID ທີ່ບໍ່ແມ່ນຂອງຕົນເອງໄດ້ ດັ່ງພາບຕົວຢ່າງດ້ານລຸມທີ່ James Lee ສັງເກດພົບວ່າມີການໃຊ້ User ID ເພື່ອເຂົ້າເຖິງຂໍ້ມູນສ່ວນບຸກຄົນ ແທນທີ່ຈະໃຊ້ໝາຍເລກ 23 ເພື່ອເຂົ້າເຖິງຂໍ້ມູນຂອງຕົນ ກັບໃຊ້ໝາຍເລກ 24 ເພື່ອເຂົ້າເຖິງຂໍ້ມູນຂອງບຸກຄົນອື່ນແທນ (ໃນທີ່ນີ້ຄືຂໍ້ມູນຂອງ Claire Lee) ແນະນຳວ່າຄວນມີການເຮັດ Authorization Policy ໃນລະດັບ Object ທັງເທິງໂຄ້ດແລະເທິງ API Gateway ລວມເຖິງການກວດຈັບພຶດຕິກຳເພື່ອຮັບມືກັບຄວາມສ່ຽງດັ່ງກ່າວ
API2: Broken
User Authentication
ການໂຈມຕີເພື່ອບາຍພາດການພິສູດຕົວຕົນ
ເຊິ່ງອາດເກີດຈາກການທີ່ບໍ່ມີລະບົບການພິສູດຕົວຕົນ ລະບົບບໍ່ແຂງແກ່ງພຽງພໍ
(Weak
JWT) ຫລືການໂຈມຕີອື່ນໆ ເຊັ່ນ Credential
Stuffing, ການລັກ API Key ໄປໃຊ້ສວມສິດ ເປັນຕົ້ນ
ຄວາມສ່ຽງນີ້ປ້ອງກັນໄດ້ໂດຍການໃຊ້ລະບົບພິສູດຕົວຕົນທີ່ແຂງແກ່ງ ເຊັ່ນ OAuth/OIDC
API3:
Excessive Data Exposure
ການເຜີເປີດເຜີຍຂໍ້ມູນຫລາຍເກີນໄປເມື່ອຖືກຮ້ອງຂໍຜ່ານ
API
ເຊິ່ງສ່ຽງຕໍ່ການທີ່ຂໍ້ມູນຄວາມລັບບາງຢ່າງ
ເຊັ່ນ ໝາຍເລກບັດເຄຣດິດ ອາດຮົ່ວໄຫຼອອກໄປດ້ວຍໄດ້ ສາມາດຫຼຸດຄວາມສ່ຽງນີ້ໄດ້ດ້ວຍການອອກແບບໃຫ້ລະບົບ
API
ຕອບກັບສະເພາະຂໍ້ມູນທີ່ຈຳເປັນ
ຫລືຫາໂຊລູຊັນມາກວດຈັບແລະທຳການ Mask ຂໍ້ມູນສຳຄັນທີ່ຖືກສົ່ງອອກໄປ
API4: Lack
of Resource & Rate Limiting
ການໂຈມຕີເກີດຂຶ້ນໄດ້ເມື່ອບໍ່ມີການຈຳກັດຈຳນວນ ເນື້ອຫາ ແລະປະເພດຂອງຄຳຮ້ອງຂໍ API ຈາກຜູ້ໃຊ້ ເຊິ່ງຖ້າມີຄຳຮ້ອງຂໍຫລາຍເກີນໄປ Payload ໃຫຍ່ເກີນໄປ ຫລືມີການດາວໂຫຼດ/ອັບໂຫຼດໄຟຂະໜາດໃຫຍ່ ອາດສ່ຽງເກີດເງື່ອນໄຂ DoS ໄດ້ ແນະນຳໃຫ້ເຮັດ Rate Limits ເທິງ API Gateway ເພື່ອໃຫ້ໝັ່ນໃຈວ່າລະບົບ API ຈະພ້ອມໃຊ້ງານຕະຫລອດເວລາ
API5: Broken
Function Level Authorization
ຄວາມສ່ຽງຄ້າຍ API1 ແຕ່ເກີດຈາກການເຜີເປີດໃຫ້ແຮັກເກີສາມາດໃຊ້ຟັງຊັນຕ່າງໆ
ໄດ້ໂດຍບໍ່ມີສິດ ດັ່ງພາບຕົວຢ່າງດ້ານລຸມ ກຸ່ມ Admin ມີສິດໃຊ້ຟັງຊັນ GET, POST, DELETE ໃນຂະນະທີ່ກຸ່ມ Users ສາມາດໃຊ້ໄດ້ແຄ່ຟັງຊັນ GET ເພື່ອເບິ່ງຂໍ້ມູນໄດ້ຢ່າງດຽວ
ແຕ່ກັບໃຊ້ຟັງຊັນອື່ນໆ ເພື່ອອັບເດດຫລືລົບຂໍ້ມູນໄດ້ດ້ວຍ ເປັນຕົ້ນ
ວິທີການປ້ອງກັນກໍຄ້າຍ API1 ຄື
ຈັດເຮັດ Access Control Policy ທັງເທິງໂຄ້ດແລະເທິງ
API
Gateway
API6: Mass
Assignment
ໂດຍທົ່ວໄປແລ້ວ
ຈະມີການຈຳກັດພາຣາມິເຕີທີ່ໃຊ້ສົ່ງຄຳຮ້ອງຂໍ API ວ່າຕ້ອງເປັນຊຸດພາຣາມິເຕີນີ້ເທົ່ານັ້ນ
ແຕ່ຖ້າເປີດໃຊ້ຟັງຊັນ Allow Bypass of Mapping Restriction ຈະເຮັດໃຫ້ສາມາດເພີ່ມພາຣາມິເຕີອື່ນເຂົ້າໄປໃນການສົ່ງຄຳຮ້ອງຂໍໄດ້
ເຖິງວ່າການເຮັດເຊັ່ນນີ້ຈະຊ່ວຍເພີ່ມຄວາມສະດວກສະບາຍໃຫ້ແກ່ Developer ແຕ່ກໍສ້າງຊ່ອງໂຫວ່ໃຫ້ແຮັກເກີສາມາດສົ່ງພາຣາມິເຕີເຂົ້າມາແກ້ໄຂຫລືປ່ຽນແປງຂໍ້ມູນພາຍໃນໄດ້ເຊັ່ນກັນ
ແນະນຳໃຫ້ສ້າງ OpenAPI Specification (OAS) ຕາມ Business Logic ເທິງ API
Endpoints ແລ້ວອິມພອດເຂົ້າ WAAP ຫລື API Gateway ເພື່ອກວດສອບຄຳຮ້ອງຂໍ API ທີ່ສົ່ງເຂົ້າມາວ່າເປັນໄປຕາມທີ່ກຳນົດໄວ້ຫລືບໍ່
API7:
Security Misconfiguration
ການຕັ້ງຄ່າການຖືຮັກສາຄວາມຫມັ້ນຄົງປອດໄພທີ່ຜິດພາດ
ຫລືເຜີໃຊ້ຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານ ເຊັ່ນ ລືມປິດພອດເລີ່ມຕົ້ນຈາກໂຣງງານ
ໃຊ້ລະຫັດຜ່ານທີ່ບໍ່ແຂງແກ່ງພໍ ຫລືເປີດໃຫ້ໃຊ້ Method ທີ່ບໍ່ເໝາະສົມ ເປັນຕົ້ນ ການໝັ່ນກວດສອບ API
Inventory ແລະໃຊ້ເຄື່ອງມືກວດສອບການຕັ້ງຄ່າຕ່າງໆ
ເປັນແນວທາງປະຕິບັດທີ່ດີໃນການຫລຸດຄວາມສ່ຽງນີ້
API8:
Injection
ຄວາມສ່ຽງນີ້ຄ້າຍກັບການໂຈມຕີ Web Apps ທີ່ແຮັກເກີສາມາດສົ່ງສະຄຣິບບາງຢ່າງເຂົ້າມາປະມວນຜົນໃນລະບົບຫຼັງບ້ານໄດ້
ເຊັ່ນ GET /api/account?id=”321′
OR 1=1″ ເພື່ອເຮັດ SQL Injection ລັກຂໍ້ມູນຈາກ Database Server ເປັນຕົ້ນ
ແນະນຳໃຫ້ເຮັດ SAST & DAST Analysis ເພື່ອຄົ້ນຫາແລະຈັດການກັບຊ່ອງໂຫວ່ເຫຼົ່ານີ້ເທິງໂຄ້ດ
ຫລືໃຊ້ລະບົບກວດຈັບ Malicious Payload ຂະນະ Runtime
API9:
Improper Assets Management
ການເຜີລືມຍົກເລີກການໃຊ້ API ເວີຊັນທົດສອບ ຫລືເວີຊັນເກົ່າທີ່ບໍ່ໄດ້ໃຊ້ງານແລ້ວ
(ເອີ້ນວ່າ Shadow API) ເຮັດໃຫ້ແຮັກເກີສາມາດເຂົ້າເຖິງ
API
ເຫຼົ່ານີ້ມີການຖືຮັກສາຄວາມຫມັ້ນຄົງປອດໄພຕ່ຳກວ່າ
ແລະເຈາະຊ່ອງໂຫວ່ເຂົ້າມາເຮັດອັນຕະລາຍແອັບພລິເຄຊັນພາຍໃນໄດ້
ຄວາມສ່ຽງນີ້ຈັດການໄດ້ໂດຍການເຮັດ API Discovery ແລະຕິດຕາມການໃຊ້ API ຢ່າງຕໍ່ເນື່ອງ
ເພື່ອເບິ່ງວ່າມີ API ຫຍັງແດ່ທີ່ເປີດໃຊ້ງານຢູ່
ທັງພາຍໃນແລະພາຍນອກ
API10:
Insufficient Logging and Monitoring
ການຂາດການບັນທຶກຂໍ້ມູນ ເຝົ້າລະວັງ
ແລະລາຍງານເຫດການດ້ານຄວາມຫມັ້ນຄົງປອດໄພທີ່ເໝາະສົມ ຫລືບໍ່ພຽງພໍ
ເຮັດໃຫ້ບໍ່ສາມາດກວດຈັບເຫດຜິດປົກກະຕິ ລວມເຖິງບໍ່ສາມາດຕິດຕາມເຫດໂຈມຕີທີ່ເກີດຂື້ນໄດ້ວ່າ
ເກີດທີ່ໃດ ຢ່າງໃດ ແລະເມື່ອໃດ ແນະນຳໃຫ້ຈັດເກັບ
Log
ໃນລະດັບແອັບພລິເຄຊັນ ແລະຂໍ້ມູນບໍລິບົດທີ່ຊ່ວຍໃຫ້ສາມາດວິເຄາະດ້ານຄວາມຫມັ້ນຄົງປອດໄພໄດ້ຢ່າງຄອບຄຸມ
6 ແນວທາງປະຕິບັດທີ່ດີທີ່ສຸດໃນການຖືຮັກສາຄວາມຫມັ້ນຄົງປອດໄພໃຫ້
API
F5 ໄດ້ໃຫ້ຄຳແນະນຳໃນການພັດທະນາກົນລະຍຸດການຖືຮັກສາຄວາມຫມັ້ນຄົງປອດໄພໃຫ້
API
6 ຂໍ້ ດັ່ງນີ້
1. Proactive
Security
ສ້າງແນວທາງການຖືຮັກສາຄວາມຫມັ້ນຄົງປອດໄພ
API
ໃຫ້ເປັນມາດຕະຖານ ເຊັ່ນ ການໃຊ້ API
Documentation (OAS) ເພື່ອລະບຸວ່າໃຜເຂົ້າເຖິງບໍລິການຫຍັງຜ່ານ
API
ໄດ້ດ້ວຍ ເມທັອດ(method) ທີ່ໃຊ້ງານຄືຫຍັງ ພາຣາມິເຕີທີ່ໃຊ້ປະກອບດ້ວຍຫຍັງດ້ວຍ
ເປັນຕົ້ນ
2. Access
Control
ນອກຈາກການພິສູດຕົວຕົນແລ້ວ ອົງກອນຄວນກຳນົດສິດແລະຄວບຄຸມການເຂົ້າເຖິງ
API
ຂອງແຕ່ລະຜູ້ໃຊ້ງານໄດ້ ເພື່ອປ້ອງກັນ Unauthorized
Access
3. API
Discovery
ຫົວໃຈສຳຄັນໃນການຄົ້ນຫາ Shadow API ທີ່ເກິດຂື້ນໃນລະບົບ ຈາກທັງພາຍໃນແລະພາຍນອກ ລວມເຖິງ API ທີ່ໃຊ້ງານຢູ່ມີຄວາມຫມັ້ນຄົງປອດໄພພຽງພໍຫລືບໍ່
4. Data
Protection
ຄວນຫາເຄື່ອງມືໃນການປ້ອງກັນ Malicious
Payload ເພື່ອບໍ່ໃຫ້ເກີດ Injection ແລະປ້ອງກັນບໍ່ໃຫ້ຂໍ້ມູນສຳຄັນຫຼຸດສູ່ພາຍນອກ
5.
Continuous Security
ປັບປຸງການພັດທະນາຊັອບແວໂດຍການນຳຂະບວນການດ້ານຄວາມຫມັ້ນຄົງປອດໄພໃສ່ເຂົ້າໄປໃນທຸກເຟດຂອງ
API
Lifecycle (CI/CD Pipeline) ແທນທີ່ຈະດຳເນີນການຫຼັງຈາກທີ່ພັດທະນາຊັອບແວສຳເລັດຮຽບຮ້ອຍແລ້ວ
6. Resource
Protection
ໃຊ້ Rate Limits ເພື່ອປ້ອງກັນການໂຈມຕີແບບ DoS/DDoS ແລະເຮັດໃຫ້ໝັ່ນໃຈວ່າ API ຈະພ້ອມໃຊ້ງານຕະຫລອດເວລາ
ຕາຕະລາງດ້ານລຸ່ມສະແດງເທັກໂນໂລຢີທີ່ໃຊ້ໃນການສ້າງ
API
Security ໂດຍແບ່ງອອກເປັນ 3 ສ່ວນ ຄື Access Control, Network Security ແລະ Runtime Protection
F5 ຜູ້ນຳດ້ານ
Application Delivery ແລະ Security
F5 ເປັນຜູ້ໃຫ້ບໍລິການເທກໂນໂລຢີດ້ານ
Application
Delivery ແລະ Security ທີ່ຄອບຄຸມທັງແອັບພລິເຄຊັນແບບດັ້ງເດີມ ແລະແອັບພລິເຄຊັນຍຸກໃໝ່ທີ່ໃຊ້ສະຖາປັດຕະຍະກຳແບບ
Microservices
ແລະ API ເທິງ Hybrid Cloud ແລະ Multi-cloud ໂດຍໂຊລູຊັນ API Security ຂອງ F5 ປະກອບດ້ວຍ
· ການປ້ອງກັນ N-S Inbound Traffic ໄດ້ແກ່ ADC, WAF, DDoS, Authentication, SSL Offload, DNS
ແລະ ອື່ນ ໆ
· Service
Discovery ສຳຫລັບຄົ້ນຫາ Shadow API ແລະກວດສອບວ່າ API ທີ່ໃຊ້ງານຢູ່ມີການຕັ້ງຄ່າຄວາມຫມັ້ນຄົງປອດໄພແຂງແກ່ງພຽງພໍຫລືບໍ່
· Microgateway ສຳຫລັບຕິດຕາມ E-W Traffic ລວມເຖິງກຳນົດນະໂຍບາຍການພິສູດຕົວຕົນແລະກຳນົດສິດການເຂົ້າເຖິງໃນການຕິດຕໍ່ກັນຜ່ານ API ລະຫວ່າງ Containers ໄດ້
ທີ່ມາ:
No comments:
Post a Comment