डिजिटल अर्थव्यवस्था में, जहां डेटा स्ट्रीम और ग्राहक केंद्रितता कंपनियों की व्यावसायिक प्रक्रियाओं का निर्धारण करती है, एपीआई एक महत्वपूर्ण स्थान रखता है। वे प्रासंगिक डेटा, सिस्टम और सॉफ्टवेयर घटकों तक पहुंच प्रदान करते हैं। हालाँकि, यह उन्हें हैकर्स के लिए एक दिलचस्प लक्ष्य भी बनाता है। एपीआई में जीरो ट्रस्ट का समय।
हैकर्स एपीआई और एपीआई ट्रैफिक पर हमला करके नाम, खाता संख्या, ईमेल और भौतिक पते जैसे डेटा चोरी करने की कोशिश करते हैं। हालाँकि, उनके स्वभाव से, एपीआई को सुरक्षित करना और उन्हें एक शून्य ट्रस्ट रणनीति में एकीकृत करना उन संगठनों के लिए विभिन्न चुनौतियाँ पेश करता है जिन्हें सुरक्षा के लिए अपने दृष्टिकोण पर पुनर्विचार की आवश्यकता होती है।
हैकर्स एपीआई पर हमला करना पसंद करते हैं
"यह आश्चर्यजनक है कि फॉर्मूला 1 में भी कितने ड्राइवर सोचते हैं कि कार को धीमा करने के लिए ब्रेक हैं।" इस चुटकी के साथ, रेसिंग ड्राइवर मारियो एंड्रेती ने एक बार इस तथ्य की ओर इशारा किया कि ब्रेक, उनके स्पष्ट उद्देश्य से परे भी हैं एक कार के झुकाव और वजन को नियंत्रित करें और इस प्रकार कॉर्नरिंग को अनुकूलित करें। इसी तरह, आईटी सुरक्षा नीतियों को लागू करने से उन्हें अधिक जटिल बनाने और इस प्रकार उपयोगकर्ताओं के लिए और अधिक निराशाजनक बनाने के बजाय अंतर्निहित प्रक्रियाओं को आदर्श रूप से परिष्कृत करना चाहिए।
जहां भी उपयोगकर्ता यात्रा को त्वरित, सरल या बेहतर बनाने की आवश्यकता है, वहां एपीआई हैं: उदाहरण के लिए, डिजिटल ऑर्डरिंग प्रक्रियाओं में क्रेडिट कार्ड भुगतान करने के लिए, या दूरस्थ रखरखाव और डिवाइस अपडेट करने के लिए। दावे के अनुसार, शुरुआत से ही इस तरह के एप्लिकेशन परिदृश्यों में सुरक्षा "बोर्ड पर" होनी चाहिए, लेकिन वास्तविकता से पता चलता है कि हैकर्स अपने स्वयं के उद्देश्यों के लिए एपीआई का दुरुपयोग करते हैं। अपर्याप्त प्रमाणीकरण और प्राधिकरण प्रक्रियाओं के कारण ऐसा बार-बार होता है।
उपयोग में प्रमाणीकरण के बिना एपीआई
उदाहरण के लिए, पिछले वसंत में, साल्ट सिक्योरिटी के एपीआई सुरक्षा विशेषज्ञों ने जॉन डीरे में एक एपीआई की खोज की, जो अपने ट्रैक्टरों के लिए जानी जाने वाली कंपनी है, अन्य बातों के अलावा, हैकर्स यह निर्धारित करने के लिए कॉल कर सकते हैं कि क्या एक निश्चित उपयोगकर्ता नाम उपयोग में था। विशेषज्ञों ने एक क्वेरी रूटीन को स्वचालित किया जिसने उन्हें दो मिनट के भीतर यह निर्धारित करने की अनुमति दी कि फॉर्च्यून 1000 कंपनियों में से जॉन डीरे के पास कौन से खाते थे क्योंकि एपीआई को प्रमाणीकरण की आवश्यकता नहीं थी या प्रश्नों की संख्या सीमित थी। करीब 20 फीसदी कंपनियों के खाते थे।
एक अन्य एपीआई एंडपॉइंट ने वाहन पहचान संख्या (वीआईएन) जमा करना और डिवाइस, मालिक और स्थान के बारे में बड़ी मात्रा में मेटाडेटा पुनर्प्राप्त करना संभव बना दिया। हैकर्स सामान्य नीलामी साइटों से आसानी से VIN प्राप्त कर सकते हैं। जबकि एपीआई को प्रमाणीकरण की आवश्यकता थी, यह एपीआई अनुरोध भेजने वालों को ठीक से अधिकृत करने में विफल रहा।
एपीआई जीवनचक्र के साथ जीरो ट्रस्ट
जाहिरा तौर पर आईटी में डेटा सुरक्षा के आधार के रूप में "डिजाइन द्वारा सुरक्षा" एपीआई के साथ लागू करना मुश्किल है। यह कभी-कभी इस तथ्य के कारण हो सकता है कि एपीआई की विकास प्रक्रियाएं मुख्य रूप से व्यावसायिक विशिष्टताओं पर आधारित होती हैं और आईटी सुरक्षा में प्रक्रियाओं से संगठनात्मक रूप से अलग हो जाती हैं। कंपनियों में विभिन्न अभिनेता अपने उद्देश्य के लिए आवश्यक एपीआई विकसित और प्रदान करते हैं। या वे अन्य कंपनियों से इंटरफेस लेते हैं। यह धारणा कि ये एपीआई नेटवर्क के बुनियादी ढांचे से जुड़े हैं और इस प्रकार उनके आसपास की सुरक्षा संरचना से उपयोगकर्ताओं को सुरक्षा का झूठा एहसास होता है। हालांकि, यह आमतौर पर किसी कंपनी के बाहर और अंदर एपीआई के माध्यम से डेटा स्ट्रीम की सुरक्षा के लिए पर्याप्त नहीं होता है।
उत्तरार्द्ध को विशेष रूप से अपने स्वयं के सुरक्षा उपायों की आवश्यकता होती है। क्योंकि आपके अपने बुनियादी ढांचे से आने वाली हर पहुंच स्वचालित रूप से अधिकृत नहीं होती है। वास्तव में और कुशलता से अनुरोधों को नियंत्रित करने के लिए, सुरक्षा तकनीकों को लोगों, प्रक्रियाओं और एक्सेस पैटर्न को भी संबोधित करना चाहिए। इसके अलावा, सिद्धांत हमेशा लागू होता है: भरोसा अच्छा है, नियंत्रण बेहतर है। ज़ीरो ट्रस्ट इसलिए आवश्यक है कि अधिकृत पहुँच प्राप्त करने के लिए प्रत्येक डिवाइस और कनेक्शन को हर बार खुद को प्रमाणित करना चाहिए। इसके लिए एपीआई के साथ-साथ विश्वसनीय रूप से सफल होने के लिए, इंटरफेस के पूरे जीवन चक्र के साथ सुरक्षा उपायों की आवश्यकता होती है। एपीआई को सुरक्षा भेद्यता बनने से रोकने के लिए, कंपनियों को इन पांच बुनियादी नियमों का पालन करना चाहिए:
- एंड-टू-एंड प्रमाणीकरण और प्राधिकरण: संबंधित प्रक्रियाएं केवल सीधे एपीआई या गेटवे पर ही नहीं होनी चाहिए। उन्हें अंतर्निहित अनुप्रयोगों में दोहराया जाना है।
- उत्तोलन सतत एकीकरण/निरंतर वितरण प्रक्रियाएं: डेवलपर्स को यह जांचना चाहिए कि वे अपने उत्पादन चक्रों में सुरक्षा दिशानिर्देशों को कैसे एकीकृत कर सकते हैं और इस प्रक्रिया में वे सीआई/सीडी के साथ कौन सी सत्यापन प्रक्रियाओं को स्वचालित कर सकते हैं।
- स्वचालित सुरक्षा उपायों को लागू करें: सुरक्षा ऑपरेशंस टीमों को यह सुनिश्चित करना चाहिए कि एपीआई संचार में आदान-प्रदान किया गया डेटा बुनियादी ढांचे के भीतर और अन्य प्रणालियों के साथ पूरे प्रसारण में सुरक्षित है। ऐसा करने के लिए, प्रक्रियाओं को स्वचालित रूप से नीतियों को लागू करना चाहिए, उदाहरण के लिए डेटा को कहीं भी स्थित होने से बचाने के लिए।
- सब कुछ केंद्रीय रूप से कैप्चर करें: आईटी सुरक्षा और अनुप्रयोग विकास को बेहतर ढंग से जोड़ने के लिए, सभी प्रक्रियाओं को लॉग और विश्लेषण करना आवश्यक है और यदि आवश्यक हो, तो जोखिम के लिए उनकी जांच करें। इसके लिए उपयुक्त स्थान एक केंद्रीय भंडार है जिसमें जिम्मेदार लोग किसी भी समय सभी प्रक्रियाओं का पता लगा सकते हैं।
- आईटी सुरक्षा के साथ सहयोग: एपीआई विकास टीमों को आईटी सुरक्षा अधिकारियों के साथ काम करने की जरूरत है। साथ में वे निर्धारित कर सकते हैं कि संभावित एपीआई सुरक्षा समस्याओं के लिए मौजूदा उपाय कितने प्रभावी हैं और यदि आवश्यक हो तो उनका विस्तार करें। उन्हें विभिन्न डेटा हानि परिदृश्यों से भी गुजरना चाहिए और एक आपातकालीन योजना विकसित करनी चाहिए। सभी परिस्थितियों में, एक शैडो एपीआई से बचना चाहिए, जिसके बारे में केवल इसका उपयोग करने वाले विभाग ही जानते हैं।
पारदर्शिता बनाएं और नियंत्रण करें
सुरक्षा और डेटा विनिमय एक विरोधाभास का प्रतिनिधित्व कर सकते हैं, और यह भी और विशेष रूप से एपीआई पर लागू होता है: एक ओर, कंपनियां उनका उपयोग प्रक्रियाओं को तोड़ने, अपनी संरचनाओं को खोलने, उपयोगकर्ताओं के लिए प्रक्रियाओं को सरल बनाने और अपने व्यापार मॉडल का विस्तार करने के लिए करती हैं। दूसरी ओर, उन्हें इस बिंदु पर डेटा ट्रैफ़िक पर नियंत्रण नहीं खोना चाहिए। दोनों में सामंजस्य स्थापित करने के लिए कंपनियों को पारदर्शिता की जरूरत है। इसमें शामिल सभी लोगों को यह सुनिश्चित करने की आवश्यकता है कि वे अपने द्वारा उपयोग किए जाने वाले सभी एपीआई को जानते हैं और विश्वसनीय रूप से प्रबंधित करते हैं।
एपीआई गेटवे उन्हें कंपनी में सभी एपीआई को स्वचालित रूप से खोजने और सुरक्षा नीतियों को लागू करने में मदद कर सकता है। एक प्रभावी एपीआई प्रबंधन समाधान मॉनिटर करता है कि कौन किस एपीआई का उपयोग कर रहा है और प्रबंधक को किसी भी असामान्य या संदिग्ध व्यवहार के प्रति सचेत करता है जो किसी अनधिकृत व्यक्ति के काम पर होने का संकेत दे सकता है। सुरक्षा में संबंधित विभाग भी मुस्तैद हैं। केंद्रीकृत एपीआई शासन के साथ संयुक्त, संगठन एपीआई के पूरे जीवनचक्र में सुरक्षा को एम्बेड कर सकते हैं और उपयोगकर्ता अनुभव से समझौता किए बिना अनधिकृत संचार छेड़छाड़ के खिलाफ इसे सुरक्षित कर सकते हैं।
Axway.com पर अधिक
एक्सवे के बारे में
एक्सवे मौजूदा आईटी इन्फ्रास्ट्रक्चर में नई गति लाता है, दुनिया भर में 11.000 से अधिक ग्राहकों को उनके पास पहले से मौजूद चीजों का निर्माण करने और डिजिटलीकरण, नए व्यावसायिक अवसर और विकास हासिल करने में मदद करता है। एम्प्लिफाई एपीआई मैनेजमेंट प्लेटफॉर्म टीमों, हाइब्रिड क्लाउड और बाहरी समाधानों में एपीआई के प्रबंधन और संचालन के लिए एकमात्र खुला, स्वतंत्र प्लेटफॉर्म है।