API Güvenliği (API Security)

API Nedir?

Api uygulama geliştirme arayüzü anlamına gelir ve yazılım bileşenleri arasında iletişim kurmak için kullanılır.

Farklı yazılım sistemleri arasında bilgi ve işlevsellik paylaşımını mümkün kılar.

Programcıya belirli bir uygulamanın sağladığı verilere erişmeyi kolaylaştıran bir set protokol, komut ve araç sunar.


API Kullanmanın Avantajları Nelerdir?

Binevi güvenlik duvarı oluşturur. Tüm veriyi paylaşmak yerine tek bir talep sunucuya iletilir.

Hızlı ve kolay çalışır.

Program geliştirmeyi kolaylaştırır. Arka planda ne olduğu ile ilgili bir fikre ihtiyaç duyulmaz.

Bütün karmaşıklığı sorunsuz bir şekilde saklayabilmemizi sağlar.


API Güvenliği İçin Yaygın Mimariler Nelerdir?

Soap Mimarisi

Basit nesne erişimi protokolü anlamına gelir.XML tabanlı bir protokol olan SOAP farklı platformlardaki uygulamalar arasında bilgi alışverişini sağlar. Veri paketlerini şifreleyerek ve kimlik doğrulaması yaparak güvenli bir iletim ve endüstri standardı olması sebebi ile farklı platformlar arasında uyumluluk sağlar.

Rest Mimarisi

Temsili durum aktarımı anlamına gelir ve web servislerinde kullanılan bir mimari tarzıdır. HTTP protokolünü kullanır. Veri formatı olarak JSON,XML gibi alternatif seçenekler sunar. Basit, esnek ve ölçeklendirilebilir olması nedeni ile popülerdir.

GraphQL Mimarisi

Web servislerinde kullanılan bir veri alışverişi dilidir. Veri formatı olarak JSON kullanır. İstemcinin ihtiyacı olan verileri tam olarak belirtmesine ve almasına olanak tanır. Kimlik doğrulama için 0Auth,JWT gibi farklı seçenekler sunar


API'leri Bir Hedef Haline Getiren Faktörler Nelerdir?

  • Kolay anlaşılıyor olmaları.

  • Değerli bilgiye daha çabuk ulaşılabiliyor olması.

  • Saldırıları otomatize etmenin kolay olması.

  • Sürekli değişip güncelleniyor olmaları.

  • Saptanmalarının ve sömürülmelerinin kolay olması.


API Tasarımı ve Uygulanması

Sürüm Oluşturma

Sürüm oluşturma, zaman içerisinde apilerde yapılan değişiklikleri yönetme işlemidir. Geliştiriciler apide yapılan değişikliklerin mevcut uygulamaları bozmaması için sürüm oluştururlar.

Giriş Doğrulama ve Veri Temizleme

Api tarafından alınan verilerin geçerli bir formata uygun olduğunu kontrol etme işlemidir. Örneğin sql injection gibi saldırıları önlemek için veri temizleme yapılmalıdır.

Uç Nokta Güvenliği

Uç noktaları yetkisiz erişime karşı koruma işlemidir. Kimlik doğrulama ve yetkilendirme işlemleri kullanılır.


API Güvenliği Nasıl Sağlanır?

Web Uygulaması Güvenlik Duvarı (WAF)

Bir WAF veri çalmak ya da kötü amaçlı kod yürütmek için kullanılan uygulamadaki izinsiz talepleri algılar. Web sitesi sunucusu ve istemci istekleri arasında bir bariyer görevi görür.

Bot Koruması

HTTP Api’leri istenmeyen otomatize trafiğe maruz kalabilir. Bot koruması çözümü HTTP tabanlı Api’leri kısıtlama ilkesi ile uygulamayı korur.

API Yönetimi

Api ağ geçidinin Api çağrılarını işlerken uyguladığı güvenlik politikası tanımlama işlemini üstlenir. Apiye özel örtük bir URL listesi gibi önemli güvenlik önlemlerini içerir. Ayrıca programlanabilir hız sınırlama ve hizmet reddi(DOS) saldırılarından korunmak için kısıtlama sağlar.


API Ağ Geçidi

Modern bir Api yönetimi Kimlik Doğrulama ve yetkilendirme, hız sınırlandırma ve giriş yönetimi gibi işlevler aracılığı ile api çağrılarını korur.

Kimlik Doğrulama

Api Anahtarları:

Api’ye erişimi doğrulamak ve yetkilendirmek için kullanılan benzersiz tanımlayıcılardır. Güvenli bir şekilde oluşturulmaları ve gizli tutulmaları gerekir.

0AUTH VE OPENID

İkisi de endüstri standartları protokolleridir. 0Auth kimlik bilgilerini paylaşmadan kaynaklara erişim izni vermemizi sağlar.

OpenID ise kullanıcının bir kimlik doğrulaması yapmasını ve bir kimlik belirteci almasını sağlar.

ROL TABANLI ERİŞİM KONTROLU

Kullanıcılara atanan rollere göre Api’lere erişimi kontrol etme mekanizması. Yönetici veya farklı kullanıcıların farklı katmanlara erişimine olanak sağlar.

Giriş Doğrulama

Bir kullanıcı ya da uygulama tarafından yapılan girişin doğru olup olmadığını kontrol eder.

Örneğin giriş parametreleri doğru türde karakterlerden(noktalama işaretleri-sayılar) mi oluşuyor? Kabul edilen değer kümesinin bir parçası mı?

Verilerin Şifrelenmesi

Api verilerinin gizliliğinin ve bütünlüğünü korumak için kullanılan yöntemlerdir. HTTPS SSL/TLS gibi yöntemler örnek gösterilebilir.

Aynı zamanda duran verilerin de şifrelenmesi gerekir. Herhangi bir ihlal durumunda verilere yetkisiz erişilmesinin önüne geçilmesini sağlar


Last updated