हैकर्स अक्सर डेटा के स्रोत को नहीं, बल्कि एपीआई को ही निशाना बनाते हैं।
एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) का उपयोग आसमान छू गया है। संगठन अब रोजमर्रा के कार्यों को कुशलतापूर्वक पूरा करने के लिए कई एपीआई पर भरोसा कर रहे हैं। एपीआई उपयोग की इस वृद्धि ने एपीआई को हैकर्स के रडार पर ला दिया है, जिससे उन्हें एपीआई कमजोरियों का फायदा उठाने के लिए नए तरीके ईजाद करने के लिए प्रेरित किया गया है।
एपीआई सुरक्षा क्यों महत्वपूर्ण है, और आप एपीआई सुरक्षा जोखिमों को प्रबंधित करने के लिए क्या कर सकते हैं? चलो पता करते हैं।
आपको एपीआई सुरक्षा पर ध्यान क्यों देना चाहिए?
आधुनिक मोबाइल, SaaS और वेब अनुप्रयोगों में एपीआई महत्वपूर्ण हैं। संगठन ग्राहक-सामना, भागीदार-सामना और आंतरिक अनुप्रयोगों में एपीआई का उपयोग करते हैं। चूंकि एपीआई एप्लिकेशन लॉजिक को उजागर करते हैं और व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) जैसे संवेदनशील डेटा, हैकर्स एपीआई तक पहुंच हासिल करने के लिए लगातार कड़ी मेहनत करते हैं। हैक किए गए एपीआई अक्सर डेटा उल्लंघन का कारण बनते हैं, जिससे संगठनों को वित्तीय और प्रतिष्ठित क्षति होती है।
के अनुसार
पालो ऑल्टो नेटवर्क और ईएसजी अनुसंधानसर्वेक्षण में शामिल 92 प्रतिशत कंपनियों ने 2022 में एपीआई-संबंधित सुरक्षा घटना का अनुभव किया। इन कंपनियों में से 57 प्रतिशत कंपनियों में कई एपीआई-संबंधी सुरक्षा घटनाएं हुईं। जैसा कि कहा गया है, एपीआई हमलों को रोकने के लिए एपीआई सुरक्षा को बढ़ाना महत्वपूर्ण है।सामान्य एपीआई सुरक्षा जोखिमों को कम करने और संवेदनशील डेटा की सुरक्षा करने में आपकी मदद करने के कुछ तरीके यहां दिए गए हैं।
1. सुरक्षित प्रमाणीकरण और प्राधिकरण लागू करें
प्रमाणीकरण का मतलब है कि एपीआई संसाधन तक पहुंचने का अनुरोध एक वैध उपयोगकर्ता से आता है, और प्राधिकरण यह सुनिश्चित करता है कि उपयोगकर्ता के पास अनुरोधित एपीआई संसाधन तक अधिकृत पहुंच है।
सुरक्षित कार्यान्वयन सुरक्षित एपीआई प्रमाणीकरण और प्राधिकरण आपके एपीआई संसाधनों तक अनधिकृत पहुंच के खिलाफ रक्षा की पहली पंक्ति है।
यहां एपीआई के लिए आवश्यक प्रमाणीकरण विधियां दी गई हैं।
एपीआई कुंजी
इस प्रमाणीकरण विधि में, क्लाइंट के पास एक एपीआई कुंजी होगी जिसे केवल क्लाइंट और एपीआई सर्वर ही जानते हैं। जब कोई ग्राहक एपीआई संसाधन तक पहुंचने के लिए अनुरोध भेजता है, तो एपीआई को यह बताने के लिए कुंजी अनुरोध से जुड़ी होती है कि अनुरोध वैध है।
एपीआई कुंजी प्रमाणीकरण विधि में कोई समस्या है। यदि हैकर्स के पास एपीआई कुंजी आ जाती है तो वे एपीआई संसाधनों तक पहुंच सकते हैं। इसलिए, हैकर्स को एपीआई कुंजी चुराने से रोकने के लिए एपीआई अनुरोधों और एपीआई प्रतिक्रियाओं को एन्क्रिप्ट करना महत्वपूर्ण है।
उपयोगकर्ता नाम और पासवर्ड
आप एपीआई अनुरोधों को प्रमाणित करने के लिए उपयोगकर्ता नाम और पासवर्ड विधि लागू कर सकते हैं। लेकिन बता दें कि हैकर्स रोजगार देते हैं पासवर्ड हैक करने की विभिन्न तरकीबें. और एपीआई क्लाइंट अपने उपयोगकर्ता नाम और पासवर्ड अविश्वसनीय पार्टियों के साथ भी साझा कर सकते हैं। इसलिए उपयोगकर्ता नाम और पासवर्ड विधि इष्टतम सुरक्षा प्रदान नहीं करती है।
म्युचुअल टीएलएस (एमटीएलएस)
पारस्परिक टीएलएस प्रमाणीकरण विधि में, एपीआई एंडपॉइंट और क्लाइंट दोनों के पास टीएलएस प्रमाणपत्र होता है। और वे इन प्रमाणपत्रों का उपयोग करके एक दूसरे को प्रमाणित करते हैं। टीएलएस प्रमाणपत्रों को बनाए रखना और लागू करना चुनौतीपूर्ण है, इसलिए एपीआई अनुरोधों को प्रमाणित करने के लिए इस पद्धति का व्यापक रूप से उपयोग नहीं किया जाता है।
JWT प्रमाणीकरण (JSON वेब टोकन)
इस एपीआई प्रमाणीकरण विधि में, JSON वेब टोकन एपीआई क्लाइंट को प्रमाणित और अधिकृत करने के लिए उपयोग किया जाता है। जब कोई क्लाइंट उपयोगकर्ता नाम, पासवर्ड या किसी अन्य प्रकार के साइन-इन क्रेडेंशियल सहित साइन-इन अनुरोध भेजता है, तो एपीआई एक एन्क्रिप्टेड JSON वेब टोकन बनाता है और क्लाइंट को टोकन भेजता है।
फिर, क्लाइंट स्वयं को प्रमाणित और अधिकृत करने के लिए बाद के एपीआई अनुरोधों में इस JSON वेब टोकन का उपयोग करेगा।
OAuth2.0 OpenID कनेक्ट के साथ
OAuth प्राधिकरण सेवाएँ प्रदान करता है, जो उपयोगकर्ताओं को पासवर्ड साझा किए बिना स्वयं को प्रमाणित करने की अनुमति देता है। OAuth2.0 एक सांकेतिक अवधारणा पर आधारित है और अक्सर इसके साथ प्रयोग किया जाता है ओपनआईडी कनेक्ट प्रमाणीकरण तंत्र. यह एपीआई प्रमाणीकरण और प्राधिकरण विधि आमतौर पर एपीआई को सुरक्षित करने के लिए उपयोग की जाती है।
2. भूमिका-आधारित अभिगम नियंत्रण लागू करें
भूमिका-आधारित अभिगम नियंत्रण (आरबीएसी), जो सुरक्षा का उपयोग करता है न्यूनतम विशेषाधिकार का सिद्धांत, उपयोगकर्ता की भूमिका के आधार पर संसाधन तक पहुंच का स्तर निर्धारित करता है।
भूमिका-आधारित पहुंच नियंत्रण को लागू करने से यह सुनिश्चित होता है कि केवल अधिकृत उपयोगकर्ता ही अपनी भूमिकाओं के अनुसार डेटा तक पहुंच पाएंगे। किसी को भी सभी एपीआई संसाधनों तक अप्रतिबंधित पहुंच नहीं होगी।
3. सभी अनुरोधों और प्रतिक्रियाओं को एन्क्रिप्ट करें
एपीआई ट्रैफ़िक में अक्सर क्रेडेंशियल और डेटा जैसी संवेदनशील जानकारी शामिल होती है। सुनिश्चित करें कि सभी नेटवर्क ट्रैफ़िक (विशेषकर सभी आने वाले एपीआई अनुरोध और प्रतिक्रियाएँ) एसएसएल/टीएसएल एन्क्रिप्शन का उपयोग करके एन्क्रिप्ट किए गए हैं। डेटा एन्क्रिप्शन हैकर्स को उपयोगकर्ता क्रेडेंशियल या किसी अन्य प्रकार के संवेदनशील डेटा को उजागर करने से रोकता है।
4. एपीआई गेटवे का उपयोग करें
यदि आप एपीआई गेटवे का उपयोग नहीं करते हैं, तो आपको ऐप के भीतर कोड एम्बेड करना होगा ताकि यह ऐप को बता सके कि एपीआई कॉल को कैसे संभालना है। लेकिन इस प्रक्रिया के लिए अधिक विकास कार्य की आवश्यकता है और इससे एपीआई सुरक्षा जोखिम बढ़ सकते हैं।
एपीआई गेटवे का उपयोग करके, कंपनियां एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस के बाहर एक केंद्रीय गेटवे के माध्यम से बाहरी सिस्टम से एपीआई कॉल का प्रबंधन कर सकती हैं।
इसके अलावा, एपीआई गेटवे एपीआई प्रबंधन को आसान बनाते हैं, एपीआई सुरक्षा बढ़ाते हैं और स्केलेबिलिटी और उपलब्धता में सुधार करते हैं।
लोकप्रिय एपीआई गेटवे में शामिल हैं अमेज़ॅन एपीआई गेटवे, एज़्योर एपीआई गेटवे, ओरेकल एपीआई गेटवे, और कोंग प्रवेश द्वार.
5. दर सीमित लागू करें
एपीआई दर सीमा आपको एपीआई अनुरोधों या क्लाइंट द्वारा आपके एपीआई पर किए जाने वाले कॉल पर एक सीमा निर्धारित करने की अनुमति देती है। एपीआई दर सीमा लागू करने से आपको रोकने में मदद मिल सकती है वितरित डेनियल ऑफ सर्विस (डीडीओएस) हमले.
आप एपीआई अनुरोधों को प्रति सेकंड, मिनट, घंटा, दिन या महीने तक सीमित कर सकते हैं। और आपके पास एपीआई दर सीमा लागू करने के लिए विभिन्न विकल्प हैं:
जब आप हार्ड स्टॉप लागू करते हैं, तो आपके ग्राहकों को उनकी सीमा तक पहुंचने पर त्रुटि 429 मिलेगी। सॉफ्ट स्टॉप में, आपके ग्राहकों के पास एपीआई दर सीमा समाप्त होने के बाद एपीआई कॉल करने के लिए एक संक्षिप्त छूट अवधि होगी। आप थ्रॉटल्ड स्टॉप को भी लागू कर सकते हैं, जिससे आपके ग्राहक सीमा समाप्त होने के बाद एपीआई अनुरोध कर सकते हैं, लेकिन धीमी गति से।
एपीआई दर सीमित करने से एपीआई सुरक्षा खतरे कम हो जाते हैं और बैक-एंड लागत कम हो जाती है।
6. डेटा एक्सपोज़र सीमित करें
सुनिश्चित करें कि एपीआई अनुरोध के जवाब प्रासंगिक या आवश्यक से अधिक डेटा न लौटाएँ। यदि एपीआई कॉल एक ज़िप कोड के लिए है, तो उसे केवल ज़िप कोड प्रदान करना चाहिए, पूरा पता नहीं।
एपीआई प्रतिक्रियाओं में जितना संभव हो उतना कम प्रदर्शित करने से प्रतिक्रिया समय में भी सुधार होता है।
7. पैरामीटर मान्य करें
एपीआई अनुरोधों के लिए कई इनपुट पैरामीटर की आवश्यकता होती है। प्रत्येक एपीआई अनुरोध के लिए, आपके एपीआई रूटीन को प्रत्येक पैरामीटर की उपस्थिति और सामग्री को मान्य करना होगा। ऐसा करने से आपके एपीआई की अखंडता सुरक्षित रहती है और दुर्भावनापूर्ण या विकृत इनपुट के प्रसंस्करण को रोका जा सकता है।
आपको कभी भी पैरामीटर सत्यापन जांच को बायपास नहीं करना चाहिए।
8. एपीआई गतिविधि पर नजर रखें
एपीआई गतिविधियों की निगरानी और लॉग इन करने की योजना बनाएं। इससे आपको धमकी देने वाले अभिनेताओं की संदिग्ध गतिविधियों का पता लगाने में मदद मिल सकती है, इससे पहले कि वे आपके एपीआई सर्वर या आपके एपीआई क्लाइंट को कोई नुकसान पहुंचा सकें। सभी एपीआई कॉल और प्रतिक्रियाओं को लॉग करना प्रारंभ करें।
विभिन्न उपकरण, जैसे सेमाटेक्स्ट, डॉटकॉम-मॉनिटर, या जाँच-परखकर, वास्तविक समय में अपने एपीआई की निगरानी करने में आपकी सहायता करें।
9. एपीआई सुरक्षा की नियमित जांच करें
एपीआई सुरक्षा परीक्षण को केवल एपीआई विकास प्रक्रिया का हिस्सा न बनाएं। इसके बजाय, अपने लाइव एपीआई की सुरक्षा की लगातार जांच करें। ऐसा करने से आपकी सुरक्षा टीम को सुरक्षा गलत कॉन्फ़िगरेशन और एपीआई कमजोरियों की पहचान करने में मदद मिलेगी जो आपकी विकास टीम एपीआई कार्यान्वयन चरण के दौरान चूक गई होगी।
साथ ही, आपकी सुरक्षा टीम को भी ऐसा करना चाहिए एक घटना प्रतिक्रिया योजना बनाएं किसी भी एपीआई सुरक्षा घटना को संभालने के लिए।
मूल्यवान डेटा की सुरक्षा के लिए एपीआई सुरक्षा जोखिमों को प्रबंधित करें
जैसे-जैसे संगठन अपनी डिजिटल परिवर्तन प्रक्रियाओं में एपीआई को तेजी से लागू कर रहे हैं, खतरा पैदा करने वाले लोग लगातार एपीआई कमजोरियों का फायदा उठाने की तलाश में रहते हैं। एक बार जब उन्हें आपके एपीआई तक पहुंच मिल जाती है, तो वे संवेदनशील डेटा चुरा सकते हैं। इसलिए आपको एपीआई सुरक्षा जोखिमों को कम करने के लिए एपीआई सुरक्षा बढ़ानी होगी।
