在現代應用程式開發中,APIs扮演著舉足輕重的角色,但同時也帶來了一些安全風險。OWASP針對API安全風險提出了API安全頂級10大風險,Microsoft Defender for APIs則提供了一套完整的解決方案來因應這些風險。
首先,針對「破壞物件級別授權」的風險,Defender可發出安全警示,偵測到有IP正在列舉API端點的參數行為。對於「破壞身分驗證」風險,Defender會透過建議確保API管理服務中的API端點強制執行身分驗證,以及API管理服務與後端呼叫時使用適當的驗證方式。
至於「破壞物件屬性級別授權」和「不受限制的資源消耗」風險,Defender會監控是否有異常的參數使用、回應承載大小、流量尖峰等情況,並發出警示。另外對於「不適當的庫存管理」風險,Defender提供了一個集中儀表板,列出所有API及相關安全性發現,並標示哪些API端點暴露於外部網路及涉及敏感資料。
不過,Defender目前並未涵蓋「破壞函數層級授權」、「伺服器端請求偽造」和「不安全的API使用」等風險。因此Microsoft也整合了協力廠商的API安全測試工具,以涵蓋OWASP頂級10大風險中所有項目,提供完整的生命週期API安全性保障。
總的來說,Microsoft Defender for APIs提供了廣泛的防護機制,有助於降低OWASP API安全頂級10大風險的影響。其中包括安全性建議、即時威脅偵測與警示、攻擊路徑分析等功能,幫助開發人員維護API的安全性。
此外,Defender與Azure Web應用程式防火牆(WAF)和Azure API管理服務的整合,也為API安全提供了更強大的防護能力。Azure API管理服務本身就內建了一些對策,能減輕OWASP API頂級10大風險的影響。
總結一下,在當代應用程式愈來愈仰賴API的情況下,確保API的安全性變得非常重要。OWASP為開發人員提供一個參考架構,列出API可能面臨的頂級安全風險;而Microsoft Defender for APIs則透過一整套防護措施,協助消除或降低這些風險,讓開發人員能夠安心構建優質的API服務。
詳情請看:
Protect Against OWASP API Top 10 Security Risks Using Defender for APIs