API Güvenliği (API Security)
Last updated
Was this helpful?
Last updated
Was this helpful?
Api uygulama geliştirme arayüzü anlamına gelir ve yazılım bileşenleri arasında iletişim kurmak için kullanılır.
Farklı yazılım sistemleri arasında bilgi ve işlevsellik paylaşımını mümkün kılar.
Programcıya belirli bir uygulamanın sağladığı verilere erişmeyi kolaylaştıran bir set protokol, komut ve araç sunar.
Binevi güvenlik duvarı oluşturur. Tüm veriyi paylaşmak yerine tek bir talep sunucuya iletilir.
Hızlı ve kolay çalışır.
Program geliştirmeyi kolaylaştırır. Arka planda ne olduğu ile ilgili bir fikre ihtiyaç duyulmaz.
Bütün karmaşıklığı sorunsuz bir şekilde saklayabilmemizi sağlar.
Basit nesne erişimi protokolü anlamına gelir.XML tabanlı bir protokol olan SOAP farklı platformlardaki uygulamalar arasında bilgi alışverişini sağlar. Veri paketlerini şifreleyerek ve kimlik doğrulaması yaparak güvenli bir iletim ve endüstri standardı olması sebebi ile farklı platformlar arasında uyumluluk sağlar.
Temsili durum aktarımı anlamına gelir ve web servislerinde kullanılan bir mimari tarzıdır. HTTP protokolünü kullanır. Veri formatı olarak JSON,XML gibi alternatif seçenekler sunar. Basit, esnek ve ölçeklendirilebilir olması nedeni ile popülerdir.
Web servislerinde kullanılan bir veri alışverişi dilidir. Veri formatı olarak JSON kullanır. İstemcinin ihtiyacı olan verileri tam olarak belirtmesine ve almasına olanak tanır. Kimlik doğrulama için 0Auth,JWT gibi farklı seçenekler sunar
Kolay anlaşılıyor olmaları.
Değerli bilgiye daha çabuk ulaşılabiliyor olması.
Saldırıları otomatize etmenin kolay olması.
Sürekli değişip güncelleniyor olmaları.
Saptanmalarının ve sömürülmelerinin kolay olması.
Sürüm oluşturma, zaman içerisinde apilerde yapılan değişiklikleri yönetme işlemidir. Geliştiriciler apide yapılan değişikliklerin mevcut uygulamaları bozmaması için sürüm oluştururlar.
Api tarafından alınan verilerin geçerli bir formata uygun olduğunu kontrol etme işlemidir. Örneğin sql injection gibi saldırıları önlemek için veri temizleme yapılmalıdır.
Uç noktaları yetkisiz erişime karşı koruma işlemidir. Kimlik doğrulama ve yetkilendirme işlemleri kullanılır.
Bir WAF veri çalmak ya da kötü amaçlı kod yürütmek için kullanılan uygulamadaki izinsiz talepleri algılar. Web sitesi sunucusu ve istemci istekleri arasında bir bariyer görevi görür.
HTTP Api’leri istenmeyen otomatize trafiğe maruz kalabilir. Bot koruması çözümü HTTP tabanlı Api’leri kısıtlama ilkesi ile uygulamayı korur.
Api ağ geçidinin Api çağrılarını işlerken uyguladığı güvenlik politikası tanımlama işlemini üstlenir. Apiye özel örtük bir URL listesi gibi önemli güvenlik önlemlerini içerir. Ayrıca programlanabilir hız sınırlama ve hizmet reddi(DOS) saldırılarından korunmak için kısıtlama sağlar.
Modern bir Api yönetimi Kimlik Doğrulama ve yetkilendirme, hız sınırlandırma ve giriş yönetimi gibi işlevler aracılığı ile api çağrılarını korur.
Api Anahtarları:
Api’ye erişimi doğrulamak ve yetkilendirmek için kullanılan benzersiz tanımlayıcılardır. Güvenli bir şekilde oluşturulmaları ve gizli tutulmaları gerekir.
0AUTH VE OPENID
İkisi de endüstri standartları protokolleridir. 0Auth kimlik bilgilerini paylaşmadan kaynaklara erişim izni vermemizi sağlar.
OpenID ise kullanıcının bir kimlik doğrulaması yapmasını ve bir kimlik belirteci almasını sağlar.
ROL TABANLI ERİŞİM KONTROLU
Kullanıcılara atanan rollere göre Api’lere erişimi kontrol etme mekanizması. Yönetici veya farklı kullanıcıların farklı katmanlara erişimine olanak sağlar.
Bir kullanıcı ya da uygulama tarafından yapılan girişin doğru olup olmadığını kontrol eder.
Örneğin giriş parametreleri doğru türde karakterlerden(noktalama işaretleri-sayılar) mi oluşuyor? Kabul edilen değer kümesinin bir parçası mı?
Api verilerinin gizliliğinin ve bütünlüğünü korumak için kullanılan yöntemlerdir. HTTPS SSL/TLS gibi yöntemler örnek gösterilebilir.
Aynı zamanda duran verilerin de şifrelenmesi gerekir. Herhangi bir ihlal durumunda verilere yetkisiz erişilmesinin önüne geçilmesini sağlar
