Бесплатный API Shield защитит от атак веб-базированные API

2 октябрь, 2020 - 13:35

Бесплатный API Shield защитит от атак веб-базированные API

Для противодействия участившимся в последние годы атакам на API-серверы, Cloudflare в четверг выпустила новый инструмент безопасности, API Shield. Он будет предоставлен бесплатно всем владельцам учётных записей Cloudflare, независимо от тарифного плана.

API это интерфейсы между разными приложениями, которые выполняют предопределённые действия в ответ на команды или запросы клиентов. Их интегрируют в самостоятельные приложения либо в веб-базированные системы для обслуживания удалённых клиентов (мобильных приложений, устройств, серверов, пользователей).

Второй вариант особенно удобен для хакерских атак (автоматические попытки авторизации, инъекции команд, перечисление пользовательских данных и многое другое) поскольку такие API-серверы по определению должны всё время находиться в онлайновом режиме и быть открытыми для запросов отовсюду.

Новый API Shield реализует так называемую политику «позитивной безопасности», то есть блокирует всё входящие подключения, не имеющие криптографического сертификата и ключа, который владелец API сгенерировал в панели управления API Shield и установил на всех утверждённых клиентах, будь то мобильные приложения, устройства IoT, веб-серверы или что другое.

«Мы начинаем с поддержки трафика [API] JSON и, основываясь на отзывах клиентов, рассмотрим возможность расширения схемы защиты на двоичные протоколы, такие как gRPC», — говорится в пресс-релизе Cloudflare.

Дальнейшие планы наращивания функциональности предусматривают добавление в API Shield возможности ограничения скорости, защиты от DDoS-атак, правил веб-приложений, специально разработанных для API, и аналитики API.