Axway Amplify Genel Müdürü Mourad Jacob tarafından
2010 yılında, API Evangelist blog yazarı Kin Lane, uygulama programlama arayüzlerinin (API’ler) İnternet’i ve ekonomimizi yönlendirdiğini öne sürdü. On yıl sonra, bu ifadenin öngörüsünü her yerde görüyoruz. Kullanıcılardan botlara ve uygulamalara, sayısız bulut hizmetine kadar herkes, modern dijital altyapımıza hizmet etmek üzere geniş ve büyüyen bir işlevsellik yelpazesini uygulamak için API’lerden yararlanıyor.
Ancak API’lerin yükselişi ve sağladıkları faydalar, iş sürekliliğini ve kullanıcı güvenini tehlikeye atabilecek veri ifşası riskini de beraberinde getiriyor. Microsoft Power Apps portalındaki ODdata API’sini içeren bir sorunun, 2021 yazında büyük ABD şirketlerinden ve çeşitli devlet kurumlarından alınan hassas verileri nasıl tehlikeye attığını düşünün. Ayrıca, IBM Security X-Force Cloud Threat Landscape 2021 raporu, API’lerin dahil olacağını öne sürüyor İncelenen siber güvenlik olaylarının üçte ikisinde.
Bu arada, dijital dönüşüm ve API geliştirme çağında, Sıfır Güven Mimarisi (ZTA), kurumsal altyapının güvenliğini sağlamaya yönelik kritik bir yaklaşım olarak ortaya çıktı. Geçen yıl Başkan Biden tarafından imzalanan Siber Güvenlik Kararnamesi, bazı yetki alanlarında bu tür bir “Sıfır Güven” mimarisi gerektiriyordu. Yürütme emri sonucunda birçok şirket de bu tür bir mimarinin uygulanmasını yol haritasına dahil etti. Bu bağlamda, amansız siber saldırılara karşı mücadelede API tabanlı teknolojiler ile ZTA’nın birleşimi belirleyici olabilir.
API güvenlik açıklarını ele alma
Şimdiye kadar kuruluşlar güvenliğe, güvenilir altyapılarını ve uygulamalarını, şirketin varlıklarını ve ağlarını yetkisiz dış erişimden koruma ana önceliği ile tanımlanmış bir çevreye yerleştirerek yaklaştılar. Ne yazık ki, bir güven bölgesini paylaşan ana bilgisayarların kuruluş dışındaki bilgisayar korsanlarından nominal olarak korunuyor olmaları, birbirlerinden yeterince korundukları anlamına gelmez.
Aslında, davetsiz misafirler çevre güvenliğini ihlal etmek ve ardından ağ boyunca serbestçe hareket etmek için dahili kullanıcı olarak göründüklerinden, sistemler daha büyük saldırı riski altında kaldı. Bir bilgisayar korsanı daha sonra kurbanın dahili kaynaklarına erişebilir ve bilgileri çalabilir. Kaynakların giderek daha fazla buluta taşınması veya telekomünikasyonun yaygın kullanımı nedeniyle, çevre artık izinsiz girişe karşı etkili bir engel değildir.
API’ler, sistemlere ana giriş noktalarıdır ve veri erişim yönetiminin temel unsurları olmaya devam edecektir. Ancak, belirli bir API’ye erişimi sınırlamak için API anahtarlarının kullanılması olan olağan savunma mekanizmaları, özellikle anahtarların çalınabilmesi veya halihazırda dolaşımda olması nedeniyle sınırlamalarını göstermiştir. Artık tanımlanan bu zayıflık, bir API gönderirken arayanın gerçek kimliğinin doğrulanmasını zorlaştırıyor.
Bireysel varlıkları korumak için güvenlik çevresini azaltın
Kurumsal güvenliği sağlamak için güçlü kimlik doğrulama teknikleri ve uygun API yapılandırmasının sağlanması zaruri hale geldi. Ve ZTA yaklaşımı tam da bu ekstra koruma katmanını sağlayabilir.
Ancak, bir ZTA’nın bağımsız bir BT altyapı mimarisi olmadığını unutmamak önemlidir. Saldırıların ağın içinden ve dışından gelebileceğini ve bu nedenle botlar dahil hiç kimseye güvenilemeyeceğini kabul eden bir yaklaşımdır.
“Sıfır Güven” yaklaşımı, kurumsal varlıkların daha sofistike korunması yoluyla güvenliği güçlendirmek için bir dizi en iyi uygulamayı içerir. Bilim kurgu hayranları için, bunu her varlığın etrafındaki güç alanları olarak düşünebilirsiniz: bu durumda, tüm uzay gemisini korumaya çalışmaktansa bireysel korumayı düşünmek daha mantıklıdır.
Erişilebilirlik önemli bir husus olarak kalmalıdır
Bir ZTA altyapısının uygulanması, dahili ve harici kuruluşlara aynı şekilde davranıldığı anlamına gelir. Şirket kurallarına göre doğrulanana ve söyledikleri kişi oldukları kanıtlanana kadar hiçbiri kaynaklara erişemez. Bu titizlik, iyi tanımlanmış erişim kısıtlamalarıyla yönetilmesi gereken tüm kaynaklar ve iletişimler için geçerlidir. Uygulamalar ve hizmetler, bir kaynağa erişmeye çalışan herhangi bir varlığın kimliğini sürekli olarak doğrulamalıdır.
Bu nedenle kuruluşlar, nerede bulunduklarına bakılmaksızın, her bir kişinin belirli bir konumdan belirli bir bilgiye erişmesinin kabul edilebilir olup olmadığı gibi belirli kilit hususlara odaklanmalıdır. Bu mikro hizmet başka bir mikro hizmetten veri kabul edebilir mi?
ZTA yaklaşımının, bu kararlar için politikalar oluşturmak ve yönetmek için temel iki adımlı bir yöntemi vardır: bir uçta, politikaları modellemek ve yönetmek için politika karar noktaları (PDP’ler) kullanılır. Öte yandan, politika uygulama noktaları (PEP) bu kararları uygular.
Çok sayıda API kullanan kuruluşlar, bunu en etkili şekilde bir API ağ geçidiyle (veya daha büyük kuruluşlarda sıklıkla olduğu gibi birden çok ağ geçidiyle) yapabilir; ancak en doğru görüş için API yönetişimine gerçekten evrensel bir yaklaşım gerekir.
Evrensel yönetişim, daha fazla ağ geçidi eklemek anlamına gelmez; farklı ekipler, API ağ geçitlerini farklı sağlayıcılardan veya farklı yapılandırmalardan korumak isteyebilir. Bunun yerine, tüm API’ler için güvenlik ve uyumluluk üzerinde daha fazla kontrol sunan bir yönetişim katmanıdır. Ekipler esnekliklerini koruyabilmeli ve neyin açığa çıkıp çıkmayacağı konusunda son söz kuruluşa aittir.
Gözlemlenebilirlik anahtardır: nerede olduklarına bakılmaksızın tüm API’lerin yalnızca eksiksiz, merkezi bir genel bakışı (tedarikçiden bağımsız, çoklu bulut, şirket içi, hibrit) bir kuruluşun tüm API’lerini güvenli bir şekilde görüntüleyebilir.
ZTA çabalarını hızlandırmak için bir API ağ geçidine güveniyorsanız, henüz kullanmadıysanız belirteç tabanlı bir API erişim ve yetkilendirme çözümü (ör. OAuth veya OpenID Connect) kullandığınızdan emin olun. İkisini (evrensel API yönetişimi ve API erişimi ve yetkilendirmesi için belirteç tabanlı bir strateji) birleştirerek, bir kullanıcının erişim düzeyini yalnızca eldeki göreve sınırlayan bir güvenlik konsepti olan en az ayrıcalık stratejisini uygulamak mümkündür.
Güvenli bir temel, kuruluşlara açılma güveni verir
Karmaşık kurumsal güvenlik gereksinimlerini karşılamak ve geleceğe uyum sağlamak için, API ağ geçitlerine ek olarak API’leri, belirteç tabanlı erişimi ve yetkilendirmeyi kullanan ZTA altyapısı, dağıtılmış politika uygulaması aracılığıyla özelleştirilebilir.
Çoklu bulut, şirket içi ve dağıtılmış kurulumlar çağında, bu yetenekler kısa ve uzun vadede API güvenliğini iyileştirmek isteyen herkes için giderek daha önemli hale gelecektir. Ancak nihayetinde, API geliştirmedeki gerçek değer, oluşturulduklarında veya güvence altına alındıklarında değil, benimsendiklerinde anlaşılır.
API’lerin benimsenmesi üzerine yakın zamanda yapılan bir araştırma, BT karar vericilerinin %96’sının şu anda API girişimlerinde dijital deneyimi güvence altına almaya öncelik verdiğini ortaya koydu. Ancak birçoğu (%97) aynı zamanda müşteri deneyimini iyileştirmenin peşinde ve %84’ü API’leri ile yeni pazarlara girmeyi umuyor.
Güvenli bir temel, işletmelere API ürünlerini bir API pazarında sergileyerek gerçek değerini ortaya çıkarma konusunda güven verir. Daha iyi benimseme, yönetim ve güvenlik için bunları tek bir yerde toplayarak, daha hızlı dijital iş sonuçları elde etmek için API’lerin gerçek potansiyelini gerçekleştirmek mümkündür.
yazar hakkında
Mourad Jaakou, Axway’de Amplify’ın Genel Müdürüdür.
Axway, Amplify API Yönetim Platformumuzu ve kanıtlanmış MFT ve B2B entegrasyon çözümlerimizi kullanarak şirketlerin daha hızlı ilerlemesine ve mükemmel dijital deneyimler oluşturmasına yardımcı olur. Mourad’ın misyonu, müşterilerini dijital dönüşümlerinde başarılı olmaları için desteklemek ve onlara eşlik etmektir. Ağ mühendisliği diploması ve kurumsal uygulama entegrasyonu (EAI) danışmanı olarak erken deneyimlerinin ardından Mourad, EMEA Satış Öncesi Danışmanlık ekibine katılmadan ve liderlik etmeden önce EAI danışmanı ve Kıdemli Proje Yöneticisi olarak çeşitli pozisyonlarda bulunduğu 2007 yılında Axway’e katıldı. Büyük müşterileri yönetme ve destekleme konusundaki 13 yıllık Satış Öncesi deneyimi, güçlü API’ler anlayışı ve şirketlerin işlerini büyütmelerine yardımcı olma isteğiyle güçlü olan Mourad, 2022’de Amplify teklifinin Genel Müdürü olarak atandı.
Mourad’a çevrimiçi olarak ve şirketimizin web sitesinde https://www.axway.com/en ulaşılabilir.