APIen tietoturva aiheuttaa tasaisin väliajoin huolta. Kuinka turvallinen voi olla verkkopohjainen API? Liittyvätkö maailmalla uutisoidut tietoturvavuodot API-teknologiaan? Voisiko APIen tietoturvaa kehittämällä kohentaa myös muuta tietoturvaa? Muun muassa näitä asioita moni teistäkin on pohtinut. Kokosimme parhaat tietoturvakäytännöt APIen koko elinkaarelle. Lue, kuinka sinäkin voit varmistaa alusta alkaen, että APIt ovat juuri niin tietoturvallisia kuin mahdollista.
APIen tietoturva muodostuu käyttäjien hallinnasta
Puhutaan hetki perusteista. Mistä muodostuu APIen tietoturva?
Taustalla on ensinnäkin muutamia teknisempiä toimintatapoja. Niistä monet ovat (onneksi) yrityksissä jo aika hyvällä mallilla. Esimerkiksi lähes kaikki verkkoliikenne alkaa olla salattua eli yhteys menee HTTPS:nä. Tällaisten yhteyteen liittyvien turvatoimien jälkeen keskitytään itse palveluiden suojaamiseen. Käytännössä se tarkoittaa esimerkiksi, että:
- henkilöiden ja sovellusten autentikointi hoituu standardin mukaisella, turvallisella tavalla (esimerkiksi OAuth2-protokollan mukaan) ja siinä erotellaan toisistaan käyttäjät ja muut palveluita käyttävät sovellukset.
- palveluihin tulevat pyynnöt tarkistetaan virheellisen ja haitallisen datan varalta.
- palveluissa varaudutaan todelliseen käyttöasteeseen ja käyttöä monitoroidaan, kehitetään ja valvotaan.
Näiden asioiden siis pitäisi olla jo kunnossa. Teknisiä yksityiskohtia tärkeämpi arjen näkökulma tietoturvaan on kuitenkin käyttäjien pääsy (tai pääsyn rajaaminen) palveluun. Käyttäjien pääsy eri palveluihin mahdollistetaan tai rajataan roolin ja tarpeen mukaan, eikä tietoa anneta enempää kuin on välttämätöntä. Siksi APIen tietoturvan kannalta yrityksen tulisi säännöllisesti miettiä vastauksia kysymyksiin:
- Missä palvelut sijaitsevat?
- Milloin ja miten usein pääsy palveluun täytyy varmentaa ja kuinka kauan varmenne on voimassa?
- Miksi käyttäjälle myönnetään pääsy palveluun?
- Miten pääsemme tavoiteltuun tietoturvatasoon?
Tietoturvallinen API – parhaat käytännöt koko elinkaarelle
Meillä Alfamella on vuosien kokemus APIen tietoturvan varmistamisesta ja kehittämisestä. Tässä muutama käytäntö, joiden avulla takaat, että palvelun tietoturva ei jää kiinni ohjelmointirajapinnasta!
Haluatko kuulla lisää?
Saitko varmuutta ja uskallusta hypätä API-maailmaan? Tutustu Suomen luotettavimpaan integraatioratkaisujen kehittäjään ja toimittajaan tarkemmin!
Ota myös haltuun oppaamme IT-päättäjille, josta pääset lukemaan mikropalveluarkkitehtuurista ja APIen roolista siinä. Oppaasta pääset lukemaan mm. seuraavista aiheista:
- Miten mikropalveluarkkitehtuurin ja APIen avulla luodaan ketteryyttä ja helpompaa hallittavuutta?
- Miten monoliittisesta arkkitehtuurista voidaan siirtyä pala palalta kohti mikropalveluarkkitehtuuria?
- Mitä käyttäjäystävällisten APIen rakentamisessa kannattaa huomioida?
