如何确保云API远离黑客攻击

没有合适的安全措施,云API就会成为黑客的一扇门。那么如何确保云API的安全呢?


开发者可以使用云应用编程接口编码,而这个接口具备一项云提供商的服务。但是同时对于云应用也是危险的,因为API也具备受攻击的一面,可能危害敏感业务数据。这意味着提供商和软件开发者需要按优先次序确定云API的安全。

无会话安全实践促进更好的云端可扩展性

首先,像数据体内或者在简单对象访问协议头的用户名和密码是不安全的。相反,开发者应该使用无会话安全实践,别不HTTP认证,基于口令的认证或者Web 服务安全。无会话安全也促进了更好地云服务可扩展性,因为任何服务器都可以处理用户请求,而且无需在它们之间共享会话。

开发者应该确定是否一个API执行了第二次安全检查,比如用户是否有合适的授权去查看、编辑或者删除服务和数据。一旦最初的认证是清晰的,开发者通常忽略了第二次的安全策略。

云提供商和开发者应该针对常见威胁测试云API安全,比如注入式攻击和跨站伪造。对于云服务提供商正在创建的API,测试尤为重要。然而,用户应该独立的核实云API安全,因为其对于审计和法规遵从非常重要。

如果加密密钥是API调用访问和认证方法论的一部分,就要安全地存储密钥,而且永远不要将其编码到一个文件或者脚本里面。

执行API变更报告

虽然安全是云API构造和使用的一个关键部分,但是对于考虑变更日志和报告特性也很重要。这个特性可以帮助追踪用户访问的云资源以及数据和配置变更。

软件开发者引用一个或者更多的云API调用改变了云托管的数据,发布了新的计算资源,并且变更了资源供应到一个云实例。每一个这种活动都应该生成日志追踪,开发者可以方便地访问。综合日志对于审计、法律追踪和其他的法规 问题至关重要。

本文作者:张培颖

来源:51CTO

时间: 2024-10-24 22:05:00

如何确保云API远离黑客攻击的相关文章

让云API远离黑客攻击

没有合适的安全措施,云API就会成为黑客的一扇门.那么如何确保云API的安全呢? 开发者可以使用云应用编程接口编码,而这个接口具备一项云提供商的服务.但是同时对于云应用也是危险的,因为API也具备受攻击的一面,可能危害敏感业务数据.这意味着提供商和软件开发者需要按优先次序确定云API的安全. 无会话安全实践促进更好的云端可扩展性 首先,像数据体内或者在简单对象访问协议头的用户名和密码是不安全的.相反,开发者应该使用无会话安全实践,别不HTTP认证,基于口令的认证或者Web服务安全.无会话安全也促

6步骤让备份服务器远离黑客攻击

以下的文章主要向大家讲述的是六步骤让备份服务器远离黑客攻击,众所周知备份服务器都是所具 有的功是十分强大的.这种服务器能够读或是覆盖你的企业中的任何文件或者数据库.没有这种服务器,企业就不能备份或者恢复文件.备份服务器都是功能很强大的.这种服务器能够读或者覆盖你的企业中的任何文件或者数据库.没有这种服务器,企业就不能备份或者恢复文件.把这些能力和许多备份软件要求备份管理员拥有访问系统的根权限或者管理员权限结合在一起,你就赋予了一个人在你的环境中读取或者覆盖任何文件和数据库的权利.当然,这就意味着

云安全管理:彻底远离黑客攻击

每一次发生众所瞩目的泄漏事件后,许多人都忙不迭的将矛头指向云.然而只要有可靠的云管理和安全策略,就没什么害怕的. 这阵子每隔几个礼拜就能听到某些大型有名的公司发生安全漏洞的新闻.索尼是最新的受害者,他们的邮箱和其他数据是从内部服务器中被盗取.在索尼之前,都是些零售业大名鼎鼎的公司受害,黑客攻击了Target和Home Depot. 为什么是现在发生这样的事情?大部分的情况是,这些公司都还在传统系统上使用传统的安全措施.但这种在2005年适用的方法在2015年很明显已经不适用了,黑客们已经学会了怎

“钓鱼岛”导致网络威胁加剧 如何远离黑客攻击

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 据<日本时报>最近报道,自日本政府9月11日"国有化"钓鱼岛的举动遭到中国的抗议之后,该国至少已有19家银行.大学和其他机构的网站遭到攻击.日本警察厅称,这些攻击导致相关网站暂时无法访问,有些攻击还改变了网站的内容. 日本警察厅的一名官员表示,这些攻击似乎来自中国,原因是其中有超过半数网站都被中国的黑客BBS或

全球断网事故频发 360高科技让网络远离黑客攻击

2016年11月16日,备受瞩目的第三届世界互联网大会在浙江乌镇召开,各位行业大咖齐聚一堂.国内最大的互联网安全公司,360董事长周鸿祎在此次大会上介绍了"美国断网事件"的来龙去脉,并展示了360安全DNS服务怎样确保网络安全. 今年10月21日,美国东海岸出现了大面积互联网断网事件,大半个美国的网络发生瘫痪.据调查,该事件影响之所以如此大,主要是黑客直接攻击了DNS服务器,从而迅速蔓延到了东海岸的所有互联网站.这次灾难,仅DYN一家公司的直接损失就超过了1.1亿美元,事件的整体损失不

如何评估并确保云API安全

云安全联盟(CSA)的最新推出报告<九宗罪:2013年云计算面临的主要威胁>,提出了一些新出现的风险,并对已经存在的风险进行了修改和重新排序.近日,负责该报告的工作组的三位联席主席之一就报告中涉及的云API安全问题提出了自己的看法,包括:不安全的接口和API到底代表什么?所涉及的风险有哪些?组织如何去评估并确保这些云API?定义不安全API所带来的风险 首先,对于那些对云API是什么以及云API如何使用不熟悉的人来说,云API本质上只是软件接口,云提供商利用云API,让用户管理云服务,典型的如

云API的安全性及亟待解决的问题

云安全联盟(CSA)的最新报告<云计算面临的主要威胁>中,提出了一些新出现的风险,并对已经存在的风险进行了修改和重新排序.报告名为<九宗罪:2013年云计算面临的主要威胁>,该报告是根据云计算和安全社区的反馈,许多个人和组织权衡比较,在他们所面临的风险中,该关注哪些风险,这些都是最新报告值得更加关注的地方. 作为负责该报告的工作组的三位联席主席之一,针对名单上的第四种威胁,我提出了很多问题,比如"不安全的接口和API"到底代表什么? 所涉及的风险有哪些? 以及组

黑客攻击成常态 别让安全拖了上云的后腿

如今,上云与否早已不是选择题.在企业实现数字化转型的过程中,云计算的重要性不言而喻.对于CIO来说,关键任务变成了找到适合的云服务商,并且根据自身业务特性逐步迁移到云端.不过随着业务加速云化,一些企业的安全团队却仍然停留在原有的思维定式,忽视了对新业务部署时的风险控制,这种威胁不仅是在应用层,还有架构层. 安全要走在上云前面(图片来自Healthcare IT Security) 今年以来,云应用和基础架构层面的数据泄露事件已经发生多起,而且勒索病毒和其他各类恶意软件的数量也在显著增加.例如,S

游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G

[本周游戏行业DDoS攻击态势] 国庆期间,针对游戏行业的DDoS攻击放缓,攻击者也在放"小长假",10月8日超过500G的攻击可视作攻击猛烈度恢复的表现. [游戏安全动态] 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失.攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋.目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的"前兆",也有可能