如何確保云API遠(yuǎn)離黑客攻擊

作者：翻譯：張培穎 2015-09-22 10:29:16

云計(jì)算

云安全 開(kāi)發(fā)者可以使用云應(yīng)用編程接口編碼，而這個(gè)接口具備一項(xiàng)云提供商的服務(wù)。但是同時(shí)對(duì)于云應(yīng)用也是危險(xiǎn)的，因?yàn)锳PI也具備受攻擊的一面，可能危害敏感業(yè)務(wù)數(shù)據(jù)。這意味著提供商和軟件開(kāi)發(fā)者需要按優(yōu)先次序確定云API的安全。

肥西網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司2013年成立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

沒(méi)有合適的安全措施，云API就會(huì)成為黑客的一扇門。那么如何確保云API的安全呢?

開(kāi)發(fā)者可以使用云應(yīng)用編程接口編碼，而這個(gè)接口具備一項(xiàng)云提供商的服務(wù)。但是同時(shí)對(duì)于云應(yīng)用也是危險(xiǎn)的，因?yàn)锳PI也具備受攻擊的一面，可能危害敏感業(yè)務(wù)數(shù)據(jù)。這意味著提供商和軟件開(kāi)發(fā)者需要按優(yōu)先次序確定云API的安全。

無(wú)會(huì)話安全實(shí)踐促進(jìn)更好的云端可擴(kuò)展性

首先，像數(shù)據(jù)體內(nèi)或者在簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議頭的用戶名和密碼是不安全的。相反，開(kāi)發(fā)者應(yīng)該使用無(wú)會(huì)話安全實(shí)踐，別不HTTP認(rèn)證，基于口令的認(rèn)證或者Web 服務(wù)安全。無(wú)會(huì)話安全也促進(jìn)了更好地云服務(wù)可擴(kuò)展性，因?yàn)槿魏畏?wù)器都可以處理用戶請(qǐng)求，而且無(wú)需在它們之間共享會(huì)話。

開(kāi)發(fā)者應(yīng)該確定是否一個(gè)API執(zhí)行了第二次安全檢查，比如用戶是否有合適的授權(quán)去查看、編輯或者刪除服務(wù)和數(shù)據(jù)。一旦最初的認(rèn)證是清晰的，開(kāi)發(fā)者通常忽略了第二次的安全策略。

云提供商和開(kāi)發(fā)者應(yīng)該針對(duì)常見(jiàn)威脅測(cè)試云API安全，比如注入式攻擊和跨站偽造。對(duì)于云服務(wù)提供商正在創(chuàng)建的API，測(cè)試尤為重要。然而，用戶應(yīng)該獨(dú)立的核實(shí)云API安全，因?yàn)槠鋵?duì)于審計(jì)和法規(guī)遵從非常重要。

如果加密密鑰是API調(diào)用訪問(wèn)和認(rèn)證方法論的一部分，就要安全地存儲(chǔ)密鑰，而且永遠(yuǎn)不要將其編碼到一個(gè)文件或者腳本里面。

執(zhí)行API變更報(bào)告

雖然安全是云API構(gòu)造和使用的一個(gè)關(guān)鍵部分，但是對(duì)于考慮變更日志和報(bào)告特性也很重要。這個(gè)特性可以幫助追蹤用戶訪問(wèn)的云資源以及數(shù)據(jù)和配置變更。

軟件開(kāi)發(fā)者引用一個(gè)或者更多的云API調(diào)用改變了云托管的數(shù)據(jù)，發(fā)布了新的計(jì)算資源，并且變更了資源供應(yīng)到一個(gè)云實(shí)例。每一個(gè)這種活動(dòng)都應(yīng)該生成日志追蹤，開(kāi)發(fā)者可以方便地訪問(wèn)。綜合日志對(duì)于審計(jì)、法律追蹤和其他的法規(guī) 問(wèn)題至關(guān)重要。

當(dāng)前標(biāo)題：如何確保云API遠(yuǎn)離黑客攻擊
本文鏈接：http://www.5511xx.com/article/djjigeh.html