paint-brush
एपीआई सुरक्षा के लिए जीरो ट्रस्ट फ्रेमवर्क का उपयोग कैसे करें?द्वारा@z3nch4n
3,055 रीडिंग
3,055 रीडिंग

एपीआई सुरक्षा के लिए जीरो ट्रस्ट फ्रेमवर्क का उपयोग कैसे करें?

द्वारा Zen Chan10m2022/12/06
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

2019 के बाद से हर महीने औसतन 220 नए एपीआई जोड़े गए हैं। व्यापक रूप से अपनाने के साथ, एपीआई आज पहले से कहीं अधिक संवेदनशील डेटा को उजागर करते हैं, जिससे वे हमलों के लिए एक मूल्यवान लक्ष्य बन जाते हैं। साल्ट सिक्योरिटी द्वारा पिछले साल के सर्वेक्षण में 95% उत्तरदाताओं ने एपीआई सुरक्षा घटना का अनुभव किया है:। रिपोर्ट में बताया गया है कि शिफ्ट-लेफ्ट रणनीति कम से कम एपीआई सुरक्षा पर मदद नहीं कर रही है। रिमोट कोड एक्ज़ीक्यूशन एक्ज़ीक्यूशन एक्ज़ीक्यूशन (RCE) या रिमोट फ़ाइल इंक्लूज़न (RFI) द्वारा सबसे महत्वपूर्ण हमला 271 तक बढ़ जाता है हैकर RCE का उपयोग जानकारी चुराने, सर्वर से समझौता करने और वेबसाइटों पर नियंत्रण करने के लिए करते हैं।
featured image - एपीआई सुरक्षा के लिए जीरो ट्रस्ट फ्रेमवर्क का उपयोग कैसे करें?
Zen Chan HackerNoon profile picture
0-item

एपीआई सुरक्षा को रक्षा-में-गहराई से जीरो ट्रस्ट मॉडल तक कैसे विस्तारित किया जाए, इसकी व्याख्या


"महामारी ने सभी प्रकार की डिजिटल परिवर्तन परियोजनाओं को जल्द से जल्द पूरा करने के लिए व्यवसायों पर अत्यधिक आग्रह किया, और हमलों में इस उछाल के पीछे लगभग निश्चित रूप से एक ड्राइविंग कारक है,"

- पीटर क्लिमेक , इंपर्वा में प्रौद्योगिकी निदेशक।


DYKT API का उपयोग 20 से अधिक वर्षों से किया जा रहा है। तब से, एपीआई काफी विकसित हुए हैं - विशिष्ट जरूरतों से निपटने के लिए एपीआई का उपयोग करने वाली कंपनियों के एक सीमित सेट से, हाल ही में, सभी आकारों के DevOps वातावरण में उपयोग के मामलों का एक अंतहीन संग्रह। एपीआई को ऐप डेवलपमेंट में पाया जा सकता है - चुस्त विकास, ग्राहकों और भागीदारों को सेवाओं से जोड़ना, और डिजिटल परिवर्तन की पहल को शक्ति देना।


लेकिन साइबर सुरक्षा के संबंध में, प्रोग्राममेबलवेब के शोध के अनुसार, 2019 के बाद से हर महीने औसतन 220 नए एपीआई जोड़े गए हैं । फिर भी, व्यापक रूप से अपनाने के साथ, एपीआई आज पहले से कहीं अधिक संवेदनशील डेटा को उजागर करते हैं, जिससे वे हमलों के लिए एक मूल्यवान लक्ष्य बन जाते हैं।


यह पोस्ट एक परिचय है कि कैसे रक्षा-में-गहराई से शून्य ट्रस्ट मॉडल तक एपीआई सुरक्षा की आवश्यकताओं को मैप किया जाए।

पृष्ठभूमि - एपीआई सुरक्षा की स्थिति

एपीआई को सुरक्षित करने के तरीके में प्रवेश करने से पहले, आइए एपीआई सुरक्षा के मौजूदा खतरे के परिदृश्य को देखें। साल्ट सिक्योरिटी द्वारा स्टेट ऑफ एपीआई सिक्योरिटी रिपोर्ट के अनुसार:


  • पिछले 12 महीनों में एपीआई हमलों में 681% की वृद्धि हुई
  • 95% उत्तरदाताओं ने पिछले वर्ष के भीतर एपीआई सुरक्षा घटना का अनुभव किया है
  • 34% उत्तरदाताओं के पास कोई एपीआई सुरक्षा रणनीति नहीं है
  • सर्वेक्षण के 62% उत्तरदाताओं ने एपीआई सुरक्षा चिंताओं के कारण एक नए एप्लिकेशन के रोलआउट को धीमा करने की बात स्वीकार की


संक्षेप में, हम बता सकते हैं कि अधिकांश उद्यम एपीआई-आधारित हमले के लिए तैयार नहीं हैं। इसके अलावा, मौजूदा सुरक्षा और एपीआई प्रबंधन उपकरण, जैसे, वेब एप्लिकेशन फायरवॉल (डब्ल्यूएएफ) और एपीआई गेटवे पर निर्भरता, प्रभावी रूप से सुरक्षा घटनाओं को रोक सकती थी और सुरक्षा की झूठी भावना प्रदान करती थी।

शिफ्ट-लेफ्ट के बारे में क्या?

रिपोर्ट में बताया गया है कि शिफ्ट-लेफ्ट रणनीति कम से कम एपीआई सुरक्षा पर मदद नहीं कर रही है। 50% से अधिक उत्तरदाताओं ने कहा कि एपीआई सुरक्षा के लिए डेवलपर्स, DevOps या DevSecOps टीमें जिम्मेदार हैं। पूर्व-तैनाती प्रयासों पर अधिक खर्च करने वाली कंपनियों में शामिल हैं:

  • सुरक्षित कोडिंग सर्वोत्तम अभ्यास,
  • कोड स्कैनिंग, और
  • मैनुअल परीक्षण


हालाँकि, 85% ने स्वीकार किया कि उनके सुरक्षा उपकरण एपीआई हमले की रोकथाम में अप्रभावी हैं - यह साबित करते हुए कि ये DevOps सुरक्षा प्रथाएँ, जबकि महत्वपूर्ण हैं, पर्याप्त नहीं हैं।


तो, एपीआई हमलों से बचाव के लिए किसी संगठन को क्या सुरक्षा बनानी चाहिए या अपनानी चाहिए? इस प्रश्न का उत्तर देने के लिए, हमें पहले एपीआई के खिलाफ आम हमलों को समझने की जरूरत है।


वर्तमान खतरा परिदृश्य

Google क्लाउड द्वारा एपीआई सुरक्षा पर हालिया रिपोर्ट में, एपीआई सुरक्षा खतरों के स्रोत हैं:

  1. गलत कॉन्फ़िगर किए गए एपीआई (40%),
  2. पुराने एपीआई, डेटा और घटक (35%),
  3. स्पैम, दुर्व्यवहार, बॉट्स (34%)।

"गलत कॉन्फ़िगर किए गए एपीआई" या "सुरक्षा गलत कॉन्फ़िगरेशन," एक श्रेणी के रूप में, सबसे अधिक पहचाने जाने वाले खतरे के स्रोत हैं।

इम्पर्वा रिसर्च लैब्स के एक अन्य अध्ययन के अनुसार, सबसे महत्वपूर्ण हमला रिमोट कोड एक्ज़ीक्यूशन (आरसीई) या रिमोट फाइल इंक्लूजन (आरएफआई) से होता है, जो 271% तक बढ़ गया। हैकर्स आरसीई या आरएफआई हमलों का इस्तेमाल कंपनी की जानकारी चुराने, सर्वर से समझौता करने और वेबसाइट को खराब करने, या यहां तक कि वेबसाइटों को नियंत्रित करने के लिए करते हैं।


OWASP API सुरक्षा के शीर्ष 10 के अनुसार अन्य API भेद्यताएँ हैं:

  • एपीआई डीडीओएस फैन-आउट,
  • शून्य-दिन एपीआई हमले,
  • चोरी की साख,
  • परिधि का उल्लंघन,
  • उल्लंघनों के पार्श्व आंदोलन,
  • इग्रेस पर डेटा लीक, या
  • संसाधन अपहरण

साइबर सुरक्षा: एपीआई नया समापन बिंदु है

जैसा कि ऊपर उल्लेख किया गया है, एपीआई के बढ़ते सुरक्षा जोखिम का पहला कारण गोद लेने का विस्फोट है - एक वातावरण में कई एपीआई। उदाहरण के लिए, कुबेरनेट्स एप्लिकेशन में सैकड़ों पॉड्स और माइक्रोसर्विसेज हैं। उनमें से प्रत्येक आधा दर्जन या अधिक एपीआई का प्रबंधन कर रहा है। (यह एक DevOps वातावरण में एक विशिष्ट परिदृश्य है)।


अब जोड़ें कि ये माइक्रोसर्विसेज वर्कलोड (और इसलिए एपीआई कॉल) अस्थायी हैं, बादलों में चलते हैं, बहुभाषी फैशन में लिखे गए हैं, और विभिन्न प्रोटोकॉल का उपयोग करते हैं। या संक्षेप में, एपीआई एक जटिल वातावरण बनाते हैं और एपीआई ऑपरेशन की निगरानी के लिए सुरक्षा टीम के लिए चुनौतीपूर्ण होते हैं।


दूसरे, एपीआई कभी भी बाहरी दुनिया के सामने आने के लिए नहीं थे। फिर भी, हमने नेटवर्क प्रोटोकॉल स्टैक के अंदर पाई जाने वाली कमजोरियों का सामना किया। उन विकासकर्ताओं ने कभी सोचा भी नहीं होगा कि उनके कार्यों को आज बड़े पैमाने पर अपनाया जाएगा। नतीजतन, एपीआई में जन्मजात कमजोरियां और उनके भीतर निर्मित जोखिम हैं।


तीसरा, हमले और उल्लंघन तेजी से परिष्कृत हो गए हैं, विशेष रूप से प्रमाणीकरण और प्राधिकरण चरण के बाद निष्पादित किए गए। वे एपीआई डेटा पेलोड के भीतर भी अधिक गहन हैं।


इसलिए, प्रमाणीकरण और प्राधिकरण से परे सुरक्षा, साथ ही एप्लिकेशन और एपीआई डेटा पेलोड परत को देखने की आवश्यकता है। ऐसा करने का एक तरीका यह है कि एपीआई सुरक्षा को हमारी पारंपरिक एंडपॉइंट सुरक्षा के अनुरूप माना जाए।


डीआईडी (डिफेंस-इन-डेप्थ), फिर से!

कंप्यूटर के बाहर हमारे दैनिक जीवन में भी सुरक्षा संबंधी समस्याएं होती हैं। मानव इतिहास के प्रारंभिक चरण से, विभिन्न देश कई रक्षा तंत्रों और किलेबंदी की खोज और अभ्यास कर रहे हैं। ये अनुभव और विचार एंडपॉइंट, नेटवर्क और एपीआई सुरक्षा पर भी लागू होते हैं।


मान लें कि एंडपॉइंट सॉफ्टवेयर महल के अनुरूप है:

  • पहचान प्रमाणीकरण कमांडरों के आईडी प्रूफ के बराबर है, और
  • हनीपॉट्स (या युद्ध में फंदा) हमलावरों को हाई-प्रोफाइल लक्ष्यों से दूर करते हैं।
  • इन युद्ध रणनीतियों में सबसे प्रभावी तरीकों में से एक डिफेंस-इन-डेप्थ (DiD) है।


डीआईडी दृष्टिकोण को दो क्षेत्रों में विभाजित किया जा सकता है:

  1. सीमा रक्षा (एंटी-मैलवेयर हस्ताक्षर)
  2. घुसपैठ का पता लगाना/रोकथाम (आईडीएस/आईपीएस/ईडीआर)

मैं इन DiD क्षेत्रों के साथ एक-एक करके API सुरक्षा समझाऊंगा।

1# सीमा रक्षा

सीमा रक्षा सबसे बुनियादी प्रकार की रक्षा है। लगभग सभी कंपनियां सीमा सुरक्षा में निवेश करती हैं। समापन बिंदु सुरक्षा में, हम ज्ञात हमले के तरीकों से बचाव के लिए हस्ताक्षर और आईपी इनकार करने वालों का उपयोग करते हैं।

सुरक्षा की अग्रिम पंक्ति के रूप में, इस परत का लक्ष्य गैर-लक्षित और अकुशल व्यक्तियों द्वारा शुरू किए गए सभी हमलों के 90% को रोकना है, जिनके पास ठोस तकनीकी जानकारी या हैकर मानसिकता नहीं है। इस परिदृश्य में, सीमा सुरक्षा इन अंधाधुंध हमलों का पर्याप्त रूप से विरोध कर सकती है।

एपीआई सुरक्षा में डब्ल्यूएएफ इस क्षेत्र में उत्कृष्ट काम कर रहा है। यह सीमा रक्षा के लिए मानक सुविधाएँ प्रदान करता है:

· आईपी अनुमत सूची और अस्वीकृत सूची,

· WAF नियम इंजन,

· दर सीमित, और

· फॉल्ट इंजेक्शन/फ़ज़िंग।

संयोजन में होने पर, यह लगभग सभी कमोडिटी हमलों को रोक सकता है।

2# घुसपैठ का पता लगाने (++)

सुरक्षा दृश्यता हमले की रोकथाम का एक महत्वपूर्ण तत्व है। एक हैकर द्वारा परिधि का उल्लंघन करने के बाद, हमें यह पहचानने के लिए एक उचित तरीके की आवश्यकता है कि कौन सी फ़ाइल/प्रक्रिया/यातायात संभावित रूप से दुर्भावनापूर्ण हमले से संबंधित है। एंडपॉइंट सॉफ़्टवेयर में, हमारे पास फ्रंट गेट से गुजरने वाले सभी अनुरोधों का निरीक्षण करने के लिए होस्ट-आधारित आईडीएस/आईपीएस है।

कुछ अन्य पता लगाने के तरीके, जैसे एपीटी का पता लगाना और मशीन सीखना, लक्षित हमलों के खिलाफ मूल्यांकन करने के लिए अधिक सहज हो सकते हैं।


व्यवहार विश्लेषण को लागू करने के अन्य विशिष्ट तरीके हैं:

· हनीपोट्स,

· ईडीआर (एंडप्वाइंट डिटेक्शन एंड रिस्पांस), और

· थ्रेट इंटेलिजेंस (फ़ाइल और प्रक्रिया)।


उन सभी तरीकों में, हनीपॉट सबसे पुराने (युद्धों की शुरुआत के बाद से) में से एक हैं। कुछ उच्च-मूल्य वाले लक्ष्यों को जाल/फंदे में फंसाकर, वे दुश्मन के व्यवहार का विश्लेषण कर सकते हैं और उनका पता लगाने में भी मदद कर सकते हैं। आजकल, हम इन तरकीबों को अपनाते हैं और उन्हें धोखे की तकनीक में बदल देते हैं।

आधुनिक दुनिया में, एपीआई सुरक्षा समाधान उल्लिखित तकनीकों के संयोजन प्रदान करते हैं; उदाहरण के लिए, हनीपोट्स में एकत्रित कलाकृतियों को WAF या वेब एप्लिकेशन और एपीआई प्रोटेक्शन (WAAP) खपत के लिए खतरे की खुफिया फ़ीड में भेजा जा सकता है। इस परत में, हमले को रोकने के लिए दृश्यता और गति बढ़ाने के लिए हमारे पास समान तकनीकें हैं:

· नेटवर्क हनीपोट्स

· एनडीआर (नेटवर्क डिटेक्शन एंड रिस्पांस), और

· थ्रेट इंटेलिजेंस (पेलोड और नेटवर्क)।


"क्रेडेंशियल-स्टफिंग" हमलों को अंजाम देने के लिए बॉट्स का उपयोग करना एक और आम हमले की रणनीति है। यह उच्च मूल्य की संपत्ति को चुराने का प्रयास करता है। रणनीति लीक हुई ईमेल/पासवर्ड जैसी लॉगिन जानकारी प्राप्त करने का तरीका खोजने की है, और फिर बैचों (लेटरल मूवमेंट) में नेटवर्क लोकैटन तक पहुंचने का प्रयास करें। अब तक, क्रेडेंशियल स्टफिंग से निपटने के लिए सबसे कुशल बचाव स्रोत से है: बॉट द्वारा किए गए सभी अनुरोधों को रोकने के लिए वास्तविक उपयोगकर्ताओं से बॉट की पहचान करें।


इस प्रकार, कुछ ऐपसेक उपकरण एपीआई सुरक्षा के हिस्से के रूप में एक विशिष्ट प्रकार के व्यवहार का पता लगाने के लिए एंटी-बॉट्स सुविधाओं को भी लैस करते हैं।

जब एपीआई सुरक्षा जीरो ट्रस्ट से मिलती है

मैं यह नहीं कह रहा कि डीआईडी बेकार है। वस्तुओं के हमलों से संगठनों के लिए WAF सुरक्षा जैसे API और अनुप्रयोग सुरक्षा समाधान। हालाँकि, जैसा कि उल्लेख किया गया है, एपीआई एक जटिल वातावरण बनाता है, और गलत कॉन्फ़िगरेशन समस्या को और खराब कर देता है।


एक अस्पष्ट परिधि के साथ, डीआईडी दृष्टिकोण से अधिक होने की आवश्यकता हो सकती है। ज़ीरो ट्रस्ट अनिवार्य रूप से हमलावरों के लिए हर जगह बाधाएँ डालता है, जिससे उनके लिए पर्यावरण के भीतर पार्श्व रूप से आगे बढ़ना असंभव हो जाता है।


जीरो ट्रस्ट एक व्यापक सुरक्षा ढांचा और रणनीति है। इसके लिए सभी टर्मिनलों, BYODs (ब्रिंग योर ओन डिवाइसेस), सर्वर, एपीआई, माइक्रोसर्विसेज, डेटा स्टोरेज और आंतरिक सेवाओं के लिए सख्त और एकीकृत सत्यापन चरणों की आवश्यकता होती है।


ज़ीरो ट्रस्ट का मुख्य विचार केंद्रीकृत प्रवर्तन बिंदु को एपीआई सहित आपके एप्लिकेशन के प्रत्येक पथ में कई सूक्ष्म चौकियों में बदलना है। चाहे वह एक आंतरिक एक्सेस बाहरी अनुरोध हो, एक मोबाइल फोन या एक पीसी, एक एपीआई कॉल या एचटीटीपी अनुरोध, एक साधारण कर्मचारी या एक सीईओ, किसी पर भी भरोसा नहीं किया जा सकता है।


अपने अनुप्रयोगों को रोके या धीमा किए बिना इस तरह के लक्ष्य को प्रभावी ढंग से प्राप्त करने के लिए, ऑर्केस्ट्रेशन और ऑटोमेशन महत्वपूर्ण निर्णायक चरण होंगे।

जीरो ट्रस्ट एपीआई सुरक्षा के लिए ऑर्केस्ट्रेशन और ऑटोमेशन क्यों महत्वपूर्ण हैं?

ZTA, NIST SP800–207 | लेखक द्वारा छवि


दोनों की आवश्यकता को समझाने के लिए, आइए जीरो ट्रस्ट आर्किटेक्चर के एक स्तंभ - उपयोगकर्ता/डिवाइस एक्सेस ट्रस्ट पर करीब से नज़र डालें। यह रक्षा पद्धति हवाई अड्डे की चौकी पर अपना पासपोर्ट दिखाने और शराब खरीदने के लिए अपने पहचान पत्र दिखाने के समान है।


संबंधित पहचान और अधिकार के बिना संबंधित प्रणाली में प्रवेश करना असंभव है। यह वह जगह है जहाँ एक एपीआई गेटवे मजबूत आता है, क्योंकि यह कुछ प्रमुख प्रमाणीकरण सुविधाएँ प्रदान करता है:

  • चाबियों का स्वचालित रोटेशन
  • OKTA और Auth 2.0 जैसी कई प्रमाणीकरण प्रणालियों के साथ एकीकरण
  • यातायात के टीएलएस और एमटीएलएस एन्क्रिप्शन का समर्थन करें


उपयोगकर्ता और डिवाइस ट्रस्ट के दो मुख्य घटक हैं:

  • पहचान और अभिगम प्रबंधन
  • एकीकृत सुरक्षा के साथ एपीआई गेटवे


हवाई अड्डों और हाई-स्पीड रेलवे जैसे सभी परिवहन केंद्रों में पहचान उपकरण जोड़ने की कल्पना करें । आपको सभी परिवहन केंद्रों से आने-जाने के सभी मार्गों को भी समझना चाहिए और सुरक्षा उपायों को लागू करना चाहिए।


एक बड़े उद्यम में, सैकड़ों सिस्टम, दसियों हज़ार एपीआई और माइक्रोसर्विसेज और सैकड़ों हज़ारों ग्राहक होंगे। जब तक हमारे पास असीमित संसाधन और समय नहीं है, DevOps, सुरक्षा, या एप्लिकेशन टीम परिभाषित नहीं कर सकती है और आधुनिक अनुप्रयोगों में मैन्युअल रूप से सैकड़ों-हजारों माइक्रो-पहचान जांच जोड़ सकती है।


जीरो ट्रस्ट आर्किटेक्चर के अन्य सभी स्तंभों, एप्लिकेशन, वर्कलोड और डेटा को भी अपनाने के लिए समान तर्क की आवश्यकता होती है। आवश्यकता एक समाधान है कि:


  1. यह आधुनिक वास्तुकला का उपयोग करता है,
  2. विषम वातावरण में काम करता है,
  3. इन जोखिमों को कम करता है (न केवल वस्तुएं), और
  4. यह सब मल्टी-क्लाउड वातावरण में स्वचालित तरीके से करता है
  5. (वैकल्पिक) ओपन-सोर्स, जैसे कि प्रौद्योगिकी चपलता और रचनात्मकता को सक्षम करने के लिए।


आइडिया जीरो ट्रस्ट एपीआई सुरक्षा कैसी दिखती है?

एपीआई में जटिल और विषम वातावरण को अपनाने के लिए, जीरो ट्रस्ट एपीआई सुरक्षा समाधान को कई प्रारूपों के रूप में तैनात करने में सक्षम होना चाहिए और इस प्रकार विभिन्न सेटिंग्स का समर्थन करना चाहिए , उदाहरण के लिए:

  • डोकर कंटेनर,
  • एक स्टैंडअलोन रिवर्स प्रॉक्सी,
  • वेब/एप्लिकेशन सर्वर के लिए एजेंट, या
  • कुबेरनेट्स प्रवेश नियंत्रक में एंबेडेड।


क्लाउड और आधुनिक एप्लिकेशन आर्किटेक्चर के समर्थन से ऑटोमेशन और स्केलेबिलिटी का ध्यान रखा जाएगा।


लेकिन ऑर्केस्ट्रेशन को बनाए रखने के लिए, "एजेंट" (या माइक्रो-एनफोर्समेंट पॉइंट) को न्यूनतम विलंबता और अधिकतम नियंत्रण सुनिश्चित करते हुए मौजूदा आर्किटेक्चर को बदले बिना मौजूदा एप्लिकेशन के शीर्ष पर तैनात करने में सक्षम होना चाहिए।


परिनियोजन और आर्किटेक्चर फॉर्म कारकों पर विचार करने के बाद, यह भी आवश्यक है कि सुरक्षा स्तर कम न हो। वास्तव में ज़ीरो ट्रस्ट को अपनाने के लिए, विश्लेषण के लिए क्लाउड सैंडबॉक्स जैसे अन्य बादलों या इंजनों को प्रसारित किए बिना सुरक्षा प्रसंस्करण स्थानीय रूप से किया जाना चाहिए


यदि बाहरी पक्ष हमारे नियंत्रण में नहीं हैं, तो डेटा/नेटवर्क एक्सेस ट्रस्ट को सत्यापित करना कठिन है। स्थानीय रूप से ऐसा करने के कुछ अन्य लाभ भी हैं, जैसे:

  • संवेदनशील डेटा संरक्षित वातावरण नहीं छोड़ता है।
  • आपको तृतीय पक्षों के साथ प्रमाणपत्र और निजी कुंजियाँ साझा करने की आवश्यकता नहीं है।
  • प्रसंस्करण यातायात के लिए तीसरे पक्ष के अपटाइम पर कोई निर्भरता नहीं।


अंतिम भाग ऑर्केस्ट्रेशन पर विचार करना है। आदर्श रूप से, हमें एक ऐसे समाधान की आवश्यकता है जो एप्लिकेशन वातावरण में प्रवेश कर सके, जबकि एक ऑर्केस्ट्रेटर उन एजेंटों का प्रबंधन कर सकता है और निम्नलिखित कार्यों का ध्यान रख सकता है:

  • एजेंटों का पंजीकरण / अपंजीकरण
  • नीति अद्यतन
  • कॉन्फ़िगरेशन अद्यतन
  • सॉफ्टवेयर अपडेट
  • लॉगिंग और
  • डेटा तुल्यकालन।


संक्षेप में, ज़ीरो ट्रस्टेड एपीआई सुरक्षा आधुनिक ऐप वातावरण में डालने के लिए विभिन्न रूपों में होनी चाहिए। इस बीच, सबसे अच्छा समाधान ऑर्केस्ट्रेशन और पारंपरिक समाधान प्रदान करने वाले सभी सुरक्षा कार्यों को प्रदान करने में सक्षम होना चाहिए।


तो जैसा कि आप जानते हैं, जीरो ट्रस्ट दोषरहित नहीं है। ज़ीरो-ट्रस्ट समाधान ज़ीरो-डे या सोशल इंजीनियरिंग हमलों से पूरी तरह से बचाव नहीं कर सकते हैं, हालांकि वे हमले की सतह और प्रभाव को काफी कम कर सकते हैं।


जीरो ट्रस्ट आर्किटेक्चर के बारे में जानने के लिए: जीरो ट्रस्ट सिक्योरिटी आर्किटेक्चर का परिचय - एक अवधारणा, उत्पाद नहीं

अंतिम शब्द

एपीआई आधुनिक अनुप्रयोगों का केंद्रीय तंत्रिका तंत्र बन गया है, जो महत्वपूर्ण जानकारी और डेटा को एप्लिकेशन के एक भाग से दूसरे भाग या एक एप्लिकेशन से दूसरे भाग में लाता है। नतीजतन, अनुप्रयोगों को सुरक्षित करते समय एपीआई सुरक्षा प्राथमिकता होनी चाहिए। यह सार्वजनिक एपीआई के लिए विशेष रूप से सच है, दुनिया भर में सॉफ्टवेयर घटकों और संवेदनशील डेटा तक पहुंचने वाले उपयोगकर्ताओं के साथ।


ज़ीरो ट्रस्ट फ्रेमवर्क को अपनाने से ध्यान एकल सुरक्षा से अलग-अलग स्तंभों (उपयोगकर्ता, उपकरण, नेटवर्क, एप्लिकेशन और डेटा) पर केंद्रित हो जाता है। इससे आपको यह सुनिश्चित करने में मदद मिल सकती है कि एपीआई एक्सेस का हर हिस्सा, चाहे परिधि के अंदर हो या बाहर, कम से कम विशेषाधिकार दृष्टिकोण के तहत हो और लगातार निगरानी की जाए।


पढ़ने के लिए धन्यवाद। InfoSec आपके साथ हो🖖।