Keresés

megoldások

api biztonság

kihívások

Napjainkban az API-k (Application Programming Interface-ek) több tízezer webes és felhőszolgáltatást, mobil és IoT eszközt kötnek össze, és lehetővé teszik a zökkenőmentes gép-gép kommunikációt. Az API-k már nem csak Facebook üzeneteket közvetítenek többé. Hatalmas mennyiségű érzékeny információ is továbbításra kerül ezeken az interfészeken: személyes azonosítók, pénzügyi és orvosi adatok, üzleti titkok, stb. És ezek száma ugrásszerűen nő.

Az API-k közvetlen utat nyitnak az Ön belső rendszerei felé. Ezért, az API-k viharos gyorsaságú elszaporodása számos, komoly biztonsági kihívást eredményezett:

  1. Az API-k a hackerek fókuszába kerültek

    Az API-kon keresztül továbbított érzékeny adatok mennyisége folyamatosan nő, és ez kiváló célponttá teszi őket a hackerek szemében. Elkezdtek sebezhető, hibás API-kat keresni, hogy ezen keresztül találjanak rést az adatokat tároló back-end rendszerekhez. És egyre sikeresebbek. Számos, mostanában történt biztonsági incidenshez az API feltörésén keresztül vezetett az út. Ilyen volt a Salesforce.com, a US Post, a T-Mobile, és a Strava incidens is. 
  2. A hagyományos biztonsági megoldások nem elegendőek

    Napjaink API támadásai egyre komplexebbek és célzottabbak, így könnyen megkerülik a hagyományos védelmi vonalakat. Ezeket a támadásokat nem lehet adatbázis alapú webes alkalmazás tűzfalakkal (WAF), vagy más, alapszintű biztonsági eszközzel észlelni. A célzott API támadásokat csak célzott megoldásokkal lehet megelőzni.

    A fenti tudás nélkül a vállalatok sebezhetővé teszik legfontosabb rendszereiket, mivel hamis biztonságérzetük alakul ki. 
  3. Az API fejlesztők nem feltétlenül biztonságtudatosak

    A biztonság nem prioritás a legtöbb fejlesztési projektben: a fejlesztők a funkcionális specifikációra, a felhasználói élményre és a határidőkre koncentrálnak elsősorban. Gyakran előfordul, hogy a biztonsági követelmények nincsenek is részletesen specifikálva. A fejlesztők nem úgy gondolkodnak, mint a támadók. Mivel API sztenderdek nincsenek, ezért a biztonsággal sokszor csak 'best-effort' jelleggel foglalkoznak.

    Ez különlegesen sebezhetővé teszi a publikus API-kat, amely az üzletmenet számára kockázatokat, míg a rossz fiúk számára további lehetőségeket teremt.
  4. A szabályozók biztonságos API kommunikációt követelnek meg

    A PSD2 megköveteli a bankoktól, hogy közvetlenül megnyissák az API-jaikat az online kereskedőknek, illetve külső fizetési szolgáltatóknak (TPP vagy Fintech). A GDPR közvetve ugyan, de megköveteli a továbbított személyes adatok anonimizálását, vagy pszeudo-anonimizálását. A PCI DSS megköveteli a pénzügyi szolgáltatóktól, hogy titkosítsák a kártyatulajdonosok adatait a nyilvános hálózatokon, stb.

    Az összes szabályozásban közös, hogy előírják a cégeknek az ügyféladatok védelmét, akár továbbítják, akár tárolják azokat. A szabályozott iparágaknak, mint például a pénzügyi, vagy állami szektorok, át kell gondolniuk, hogyan fogják biztonságossá tenni a publikus API-jaikon továbbított érzékeny adatforgalmat.  
megoldás

API megoldásunk rendkívül rugalmas megközelítést biztosít az API fenyegetések ellen azon biztonságtudatos szolgáltatóknak és alkalmazás fejlesztőknek, akik érzékeny adatokat kezelnek API-kon keresztül.

Szemben az API-menedzsment szállítókkal, ahol a biztonság mindössze egy pipa a sok közül, a mi célmegoldásunk kizárólag az API biztonságra fókuszál, az API-forgalom validálásának, szabályozásának és elemzésének ütőképes kombinációját kínálva. Rugalmas architektúrájának köszönhetően szervezete kompromisszumok nélkül vezethet be egyéni API biztonsági házirendeket. 

A Balasys tanácsadási szolgáltatása segít Önnek feltérképezni API-biztonsági hiányosságait, és segít összeállítani a megfelelő megoldást. Bevezetési szolgáltatásunkat teljes mértékben az Ön igényeihez tudjuk igazítani. A bevezetés utáni tréning segítségével Ön tovább növelheti IT csapata hatékonyságát. Ha további támogatásra van szüksége, az üzemeltetésben is tudunk segítséget nyújtani.

tudjon meg többet api biztonsági termékünkrőltudjon meg többet kapcsolódó szolgáltatásainkról

contact us

Online:
Create or manage technical and non-technical cases, access your licenses or download your software via Balasys Support site at https://support.balasys.hu

Phone:
Call Customer Support to receive assistance with your issues: +36 1 646 4740, +36 1 646 4747

Support levels

Title
Availability
Response time*
software-subscription
Contract
version
5x8 ( Mon-Fri, 9-17 CET )
The next business day
Yes
2
ExtendedSU
5x12 ( Mon-Fri, 8-20 CET )
4 hours
Yes
4
PrivilegeSU
7x24 ( Mon-Sun 0-24 )
2 hours
Yes
6
BaseSU
Availability: 5x8 ( Mon-Fri, 9-17 CET )
Response time* : The next business day
software-subscription: Yes
Contract: 2
ExtendedSU
Availability: 5x12 ( Mon-Fri, 8-20 CET )
Response time* : 4 hours
Software-Subscription: Yes
Contract: 4
PrivilegeSU
Availability: 7x24 ( Mon-Sun 0-24 )
Response time* :2 hours
Software-Subscription: Yes
Contract: 6
use case

fejlesztési koncepciónk

fejlesztési koncepció
Folyamatosan fejlesztjük API biztonsági termékünket, hogy egy versenyképes és a jövő kihívásainak is megfelelő megoldást kínálhassunk Önnek. Termékünk jelenlegi funkcionalitásán felül, a jövőben forgalom átalakítási (transzformáció), autentikációs és malware észlelési képességek hozzáadását is tervezzük. Fejlesztési terveink között szerepel: 
Adatdúsítás
Anonimizáció és adatmaszkolás
Formátum és protokoll konverzió (pl. json - xml)
Csúcsterhelés hibatűrése
Több hitelesítési metódus támogatása (AD/LDAP, X.509, Kerberos, OAuth, OpenID, SAML, etc.) 
Többrétegű tartalom szűrés
use case

előnyök

a balasys api megoldásának előnyei:
Kizárólag az API biztonsági problémákra fokuszál
Páratlan konfigurációs lehetőségek
Hazai fejlesztés - 'tiszta' kódbázis
Rendkívül képzett és rugalmas szolgáltatói csapat
Világszínvonalú konzultációs szolgáltatások, “fekete öves” mérnökökkel
Személyre szabott bevezetési szolgáltatások
Kedvező ár-érték arány
balasys-triangle-leftbalasys-triangle-left