Gerçek zamanlı API’ler için adım adım güvenlik
15.12.2020
Sosyal Medya

Gerçek zamanlı API’ler için adım adım güvenlik

Gerçek zamanlı API'ler, günümüzde uzaktan sağlık hizmetlerinden çevrimiçi bankacılığa kadar neredeyse tüm dijital işlerin üzerine kurulduğu temellere dönüşmüş durumda. Ancak hızla artan popülerlikleri nedeniyle siber saldırganların da başlıca hedeflerinden birisi. Dolayısıyla, dijital servislerin platformlar arasında çalışmasını sağlayan API'lere yönelik saldırıları hızla tespit etmek ve önlemek giderek daha önemli hale geliyor.

Gartner'a göre API’lerin kötüye kullanımı, 2022'de kurumsal web uygulamalarına yönelik en yaygın saldırı türü olacak.

Dijital dönüşüm ve artan müşteri beklentileri ile şirketler, kullanıcıların farklı ihtiyaçlarını karşılamak için giderek daha fazla yaratıcı yaklaşımlar benimsiyor. Gerçek zamanlı API'lerle, geliştiriciler çeşitli ihtiyaçları karşılayan uygulamalar oluşturabiliyor.

API nedir, nasıl çalışır?

API kısaltmasıyla bilinen uygulama programlama arayüzleri, günümüzün modern uygulamalarının temelini oluşturur. Bilgilerin diğer yazılım bileşenlerinden çıkarılmasını ve uygulamalara entegre edilmesini sağlar. Bu, örneğin, bir yolculuk paylaşımı uygulamasına Google Haritalar'ın veya bir web sitesindeki YouTube videolarının entegrasyonunu içerir. Bu örnek ışığında API’lerin başlıca işlevinin, uygulamaların yeteneklerini birbirleriyle paylaşmasını sağlamasıdır demek, doğru olur.

API'ler, oturum açmadan geri bildirim bırakmaya kadar bir kullanıcının bir uygulamayla etkileşiminin her aşamasında temel bileşenlerdir.

Kullanıcılar, bilgilerin hemen kullanılabilir olmasını bekler. Bu yüksek hız beklentisi, yakında kullanmaya başlayacağımız yeni mobil iletişim standardı 5G ile birlikte daha da artacak. Günümüzde gerçek zamanlı API'lerin bir API çağrısını baştan sona 30 milisaniyeden daha kısa sürede işlemesi beklenmektedir. Düşük gecikme süresine sahip 5G ağları bu sebeple API’lerin kullanım kapsamını genişletebilecek.

API güvenliği neden önemlidir?

API'lerin yaygın kullanımının en büyük dezavantajı siber suçluları cezbetmesidir. Gartner araştırma şirketi, API kötüye kullanımının 2022 yılına kadar web'deki kurumsal uygulamalara karşı en yaygın saldırı vektörü olacağını tahmin ediyor. API'lerin siber saldırganlar için değerli hedefler olması, birkaç faktörden kaynaklanmaktadır.

Kurumların API kullanımı yaparken, uygun erişim izinlerini ayarlamaya dikkat etmeleri gerekiyor. Doğrudan kullanıcı erişimi için tasarlanmadıkları için, API'ler genellikle uygulama ortamındaki tüm verilere erişim sağlar. Erişim daha sonra genellikle jenerik isteklerde bulunan kullanıcılara belirli izinler vermek için kontrol edilir. İstekler API çağrılarına çevrilir ve API bu izinleri devralır. Ancak bu durum, bir saldırgan kimlik doğrulama sürecini atlayıp, API aracılığıyla uygulamalara doğrudan erişene kadar işe yarar. API sınırsız erişime sahip olduğundan, saldırgan tüm verilere erişim sağlayabilir ki, bu da gerçekleşebilecek en kötü senaryodur.

Basit HTTP Web istekleri gibi, API çağrıları da URL'ler, yöntemler, başlıklar ve benzeri diğer parametreleri içerir. Bunlar bir siber saldırı ile kötüye kullanılabilir. API’lere yapılan en yaygın saldırılar arasında, enjeksiyon, kimlik hırsızlığı, parametre manipülasyonu ve oturum gözetleme gibi çoğu tipik web saldırıları bulunur.

API güvenliği nasıl sağlanır?

Kurumlar bir API'nin yaşam döngüsünün her aşamasında uygun güvenlik önlemlerini almalıdır. API tasarım ve geliştirme aşamasının başından sonuna, API'yi güvenli tutmak için gerekli olacak Web Uygulaması Güvenlik Duvarı (WAF), bot koruması, API yönetimi çözümü, API ağ geçidi ve diğer araçlarla sorunsuz entegrasyon ilkesi ışığında çalışılmalıdır.

  1. Web Uygulaması Güvenlik Duvarı (WAF)

Bir Web Uygulaması Güvenlik Duvarı (WAF), bilgileri çalmak veya kötü amaçlı kod yürütmek için uygulama kodundaki güvenlik açıklarından yararlanmaya çalışan izinsiz talepleri algılar. Her WAF, en azından en yaygın API hedefli saldırı türlerine karşı koruma sağlamalıdır. Çözüm, CI / CD ve DevOps iş akışları için optimize edilmelidir ve XML, JSON, metin ve HTML isteklerini desteklemelidir.

  1. Bot koruması

HTTP API'leri botlara ve diğer kötü niyetli veya istenmeyen otomatikleştirilmiş trafiğe maruz kalabilir. Bot koruması çözümü, HTTP tabanlı API'leri kısıtlama ilkesiyle çevrimiçi sahtekarlığı ve uygulama kötüye kullanımını hedefleyen otomatik saldırılardan korur.

  1. API yönetimi

API yönetimi çözümleri, API ağ geçidinin API çağrılarını işlerken uyguladığı güvenlik politikası tanımlama görevini üstlenir. Bu görev, API spesifikasyonuna dayalı örtük bir URL izin listesi gibi önemli koruma özelliklerini içerir. Ayrıca programlanabilir hız sınırlama, çoklu hız sınırlama ilkeleri ve hizmet reddi saldırılarına karşı koruma sağlamak için kısıtlama sağlar.

  1. API Ağ Geçidi

Modern bir API ağ geçidi, aşağıdaki işlevler aracılığıyla API çağrılarını korur:

  • Kimlik doğrulama ve yetkilendirme: API kimlik doğrulaması, yalnızca tanınan istemcilere erişim izni verir. Bu profiller, verilere erişmeden önce iddia ettikleri kişi olduklarını kanıtlamalıdır. Kimlik doğrulama, bir API'nin temel görevlerinden biri olmadığından, uygulama kodunun dışında gerçekleştirilmelidir. Dolayısıyla API geliştiricilerini kendi kimlik doğrulama kodlarını yazmak zorunda değildir. Bu durum, kuruluşların kimlik doğrulama gereksinimlerinde esnekliği korurken, tüm API'ler için kimlik doğrulamasını merkezi olarak yönetebileceği anlamına gelir.
    Örneğin, bir spor web sitesinde skorları görüntüleyen API'nin kimliği doğrulanmamış kullanıcılar tarafından kullanımına izin verilir. Ancak içeriği düzenlemek için bir API’den faydalanan kullanıcıların kimliğini doğrulamaları gerekir.
  • Hız sınırlayıcı: Kullanıcı kimliğini doğrulayan kimlik doğrulamasından farklı olarak, yetkilendirme işlevi, bir kullanıcının gerçekleştirmesine izin verilen eylemleri belirler. Hız sınırı, belirli bir kullanıcının ne sıklıkla API çağrısı yapabileceğini kontrol eder. Bu, hem arka uç hizmetlerini aşırı yükten korumaya hem de istemciler için adil kullanım sağlamaya hizmet eder.
    Örneğin, talebin yüksek olduğu dönemlerde saniyede 100 işleme izin verilebilir. Bu yöntem bireysel kullanıcı adlarına, belirli IP adreslerine, alanlara veya tüm kullanıcılara uygulanabilir.
  • Giriş Doğrulama: Giriş doğrulama, bir kullanıcı veya uygulama tarafından yapılan bir girişin doğru olup olmadığını kontrol eder. Örneğin giriş parametreleri doğru türde karakterlerden (sayılar, harfler, noktalama işaretleri) oluşuyor mu? Önceden tanımlanmış kabul edilebilir değerler kümesinin parçası mı? Sağlanan başka bir değerle tutarlı mı? Örneğin, posta kodunun verilen adresle eşleşip eşleşmediğini veya geçerli bir doğum tarihinin verilip verilmediğini kontrol etmek mümkündür.
    Giriş doğrulaması, uygunsuz verilerin bir bilgi sistemine girmesini ve bütünlüğünü tehlikeye atmasını önler. Ayrıca, başka isteklerden engellenen kötü niyetli kullanıcıları tespit etmenin de etkili bir yoludur.
Öne Çıkan Yazılar
İki faktörlü kimlik doğrulama (2FA) internette güvende kalın
İki faktörlü kimlik doğrulama (2FA) ile internette güvende kalın
İki faktörlü kimlik doğrulama ya da kısaca 2FA olarak bilinen güvenlik önlemi, internetteki giriş işlemlerinde hızlı ve pratik...
28.09.2020
Güvenlik
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Akıllı Kontratlar, bilgisayar protokollerine bağlı çalışan sözleşmelerdir ve Blockchain (blok zinciri) üzerinde çalışan dijital...
18.11.2020
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı ve Güvenliği Yasası (Kanun No.6331), TBMM tarafından kabulünden sonra, 30 Haziran 2012 tarih ve 28339 sayılı Resmi...
8.08.2016
Güvenlik