Dünyadaki yasama, düzenleyici ve danışma organları API güvenliğinin önemini uyandırıyor. En son, İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), güvenli API’lerin oluşturulması ve sürdürülmesi için en iyi uygulamalar hakkında ayrıntılı rehberlik yayınlamıştır. Bu blogda, bu rehberliği yıkacağız ve Wallarm’ın platformunun her biriyle uyumlu olmanıza nasıl yardımcı olabileceğini keşfedeceğiz.
NCSC’nin API güvenlik rehberliğinin içinde
NCSC, API güvenliği için yedi temel sütunun özetlenmesi, her biri API’lerin bugünün tehdit manzarasında karşılaştığı belirli bir risk kümesini ele alıyor. Daha yakından bakalım:
Güvenli Geliştirme Uygulamaları
NCSC şampiyonları, kapsamlı bir tehdit modellemesinden başlayarak güvenliği tasarımla yerleştiriyor. Bu, API’lerin standart özellikleri (OpenAPI gibi) kullanarak tanımlamak, bunları kontrol etmek ve bunları güvenli ortamlarda geliştirmek anlamına gelir. En önemlisi, testler negatif ve tüy testlerini içerecek şekilde “mutlu yol” senaryolarının ötesine geçmelidir. Kapsamlı API envanterleri gibi güvenli varlık yönetişiminin sürdürülmesi, yönetilmeyen veya unutulmuş uç noktaların güvenlik açıkları haline gelmesini önlemek için de hayati önem taşır.
Kimlik Doğrulama ve Yetkilendirme
Sağlam kimlik yönetimi API korumasının temelini oluşturur. NCSC, temel kimlik doğrulama veya basit API tuşları gibi zayıf yöntemlere karşı tavsiyelerde bulunur ve bunun yerine OAuth 2.0 ve OpenID Connect gibi token tabanlı yöntemler önerir. Kimlik bilgileri her zaman kısa ömürlü olmalı, güvenli bir şekilde depolanmalı ve tekrar oynatmalara karşı dirençli olmalıdır. Yetkilendirme mantığı ise, en az ayrıcalık ilkesine, erişimi reddetme ve izinleri her istekle yeniden değerlendirmek için kesin olarak uymalıdır.
Transit korumasındaki veriler
Tüm API iletişimleri güncel TLS yapılandırmaları kullanılarak şifrelenmelidir. Özel veya son derece hassas API’ler için NCSC, iki yönlü kimlik doğrulamasını uygulamak için karşılıklı TLS (MTLS) önerir. Kaçınılması gereken yaygın tuzaklar arasında eski TLS sürümleri ve zayıf şifre süitleri bulunmaktadır.
Giriş Doğrulama
Enjeksiyon saldırılarının ve mantık kusurlarının önlenmesi, kullanıcı arayüzünden arka ucuna kadar birden çok katmandaki girişleri doğrulamaya dayanır. Bu, hem sözdizimsel (format tabanlı) hem de anlamsal (bağlamsal) kontroller gerektirir. NCSC, tutarsız veya eksik validasyon riskini en aza indirmek için şemaların, listelere izin verilen ve merkezi doğrulama kütüphanelerinin kullanılmasını teşvik eder.
DOS saldırısı azaltma
API’lerin yüksek hacimli ve kaynak kapsamlı saldırılarına karşı güçlü bir korumaya ihtiyacı vardır. NCSC, yükü yönetmek ve anomalileri tanımlamak için kısma ve hız sınırlamasının uygulanmasını önermektedir. Kapsamlı kütükler, sivri uçları izlemek için de gereklidir ve meşru trafik dalgalanmaları ve kötü niyetli istismar arasında farklılaşmaya yardımcı olur.
Günlük ve İzleme
Kuruluşlar, başarısız girişler veya izin değişiklikleri gibi önemli olayları kaydetmeli ve ani trafik sivri veya kaba kuvvet denemeleri gibi gerçek zamanlı anomalileri sürekli olarak izlemelidir. Bu günlükler herhangi bir hassas veri içermemeli ve hızlı olay yanıtını kolaylaştırmak için merkezi olarak yönetilmelidir.
Maruziyeti sınırlamak
Aşırı uç nokta maruziyeti saldırı yüzeylerini önemli ölçüde arttırır. NCSC, kullanılmayan uç noktaların hizmet dışı bırakılmasını, ayrıcalıklı rotaları kilitlemeyi ve bilinen kötü amaçlı IP adreslerini engellemeyi tavsiye eder. İdeal olarak, API’ler yalnızca güvenilir kullanıcılara veya topluluklara maruz bırakılmalıdır. Ayrıca, NCSC, tutarlı erişim kontrollerini uygulamak ve web uygulaması güvenlik duvarları (WAF) ve saldırı algılama sistemleri (ID’ler) gibi daha geniş altyapı savunmalarıyla entegre etmek için API ağ geçitlerinin kullanılmasını önerir.
Wallarm’ın çözümleri nasıl yardımcı olabilir?
| NCSC rehberlik alanı | Wallarm özelliği |
| Güvenli Geliştirme Uygulamaları | API Keşfi ve envanter: Gölge, haydut, zombi ve kullanımdan kaldırılmış uç noktalar dahil olmak üzere tüm dahili ve dış API’leri otomatik olarak algılar ve kataloglar.CI/CD’de API Güvenlik Testi: Üretim öncesi tarama ve yanlış yapılandırma tespiti gerçekleştirmek için DevOps boru hatlarıyla entegre edilmiştir. Güvenlik Kontrol Testi: Korumaların konuşlandırıldığını doğrular, saldırıları etkili bir şekilde engeller. |
| Kimlik Doğrulama ve Yetkilendirme | Kimlik Doğrulama Güvenlik Açığı Tespiti: Eksik kimlik doğrulama veya yetkilendirme katmanları uç noktaları tanımlar.API Spesifikasyon Uygulama ve Bola Koruması: Uç noktaların yalnızca spesifikasyona uygun trafiği kabul etmesini ve güvensiz nesne referans saldırılarını azaltmasını sağlar. API kötüye kullanımı Ve Kimlik bilgisi doldurma Tespit: Jeton tekrarlama, kaba kuvvet ve yetkisiz erişim denemelerini algılar. |
| Transit korumasındaki veriler | TLS/MTLS dağıtımları ile entegrasyon: Wallarm işlemleri, TLS veya MTLS korumalarını kullanan özel API’lerle uyumlu, düşüş saldırılarını veya zayıf şifre kullanımını önleyerek özel API’lerle uyumlu. |
| Giriş Doğrulama | Derin sözdizimi ayrıştırma ve saldırı tespiti: Tüm istek seviyelerinde SQLI, XSS, RCE ve Yol Gezisi için yükleri denetler. Spesifikasyon Uygulama: Openapi/GraphQL şemalarından sapan istekleri veya yanıtları engeller. GraphQL korumaları: Yuvalama istismarı, parti ve aşırı veri maruziyetini önler. |
| DOS azaltma | L7 DDOS Koruma ve Hız Sınırlama: Katmanları algılar ve kısır. Davranışsal Tespit: Anomali korelasyonu yoluyla kaynak tükenmesini ve bot güdümlü DO’ları tanımlar. |
| Günlük ve İzleme | Tamamen gözlemlenebilirlik ve uyarı: Talep düzeyindeki meta verileri, hassas içeriği düzeltir ve oturum rekonstrüksiyonunu ve gerçek zamanlı anomali uyarılarını destekler. SIEM Entegrasyonları: Meta verileri Splunk Pagerduty ve Slack gibi harici sistemlere iter. |
| Maruziyeti sınırlamak | Saldırı Yüzey Yönetimi: Keşif uç noktaları otomatik olarak, kullanılmayan veya kullanımdan kaldırılmamış olanları işaretler. API Spesifikasyon Uygulama: Spesifikasyonlarda tanımlanmayan yetkisiz rotaları reddeder. Ağ Geçidi/WAF Entegrasyonu: Kontrolleri uygulamak ve kötü niyetli IP’leri engellemek için API ağ geçitleri ve WAF ile uyumlu işlevler. Bot/kötü niyetli IP engelleme: Sıyırıcıları, botları ve bilinen kötü niyetli kaynakları tespit eder ve engeller. |
Wallarm’ın nasıl yardımcı olabileceği hakkında daha fazla bilgi edinin
NCSC’nin rehberliği, API’leri bugünün tehdit manzarasında güvence altına almak için pratik, çok yönlü bir çerçeve sunmaktadır. Ancak bu ilkeleri uygulamaya dönüştürmek görünürlük, otomasyon ve proaktif savunma gerektirir. Wallarm, bir birleşik platformda sürekli API keşfi, çalışma zamanı koruması ve güvenlik testini birleştirerek bunu mümkün kılar. Çevrenizde nasıl çalıştığını görmek için bugün bir demo rezervasyonu yapın.