¿Cómo previene la API de la nube los ataques de piratas informáticos?

OTPUB cree que los desarrolladores pueden codificar utilizando la Interfaz de programación de aplicaciones en la nube (CAPI), propietaria de los servicios del proveedor de la nube. Pero al mismo tiempo, esto también es peligroso para las aplicaciones en la nube porque las API también son vulnerables a ataques que comprometen datos comerciales confidenciales. Esto significa que los proveedores y desarrolladores de software deben priorizar la seguridad de las API en la nube.

Las prácticas de seguridad sin sesiones mejoran la escalabilidad de la nube

En primer lugar, los nombres de usuario y las contraseñas (como los de los encabezados del conjunto de datos o del protocolo simple de acceso a objetos) no son seguros. En su lugar, los desarrolladores deberían utilizar prácticas de seguridad sin sesión en lugar de autenticación HTTP, autenticación basada en contraseña o seguridad de servicios web. La seguridad sin sesión también mejora la escalabilidad de los servicios en la nube porque cualquier servidor puede manejar las solicitudes de los usuarios sin que haya una sesión entre ellos.

Los desarrolladores deben determinar si la API realiza una segunda verificación de seguridad, como por ejemplo si el usuario tiene la autorización adecuada para ver, editar o eliminar el servicio y los datos. Una vez que la verificación inicial es correcta, los desarrolladores suelen ignorar la segunda política de seguridad.

Los proveedores y desarrolladores de la nube deben probar la seguridad de las API de la nube contra amenazas comunes como ataques de inyección y falsificación entre sitios. Las pruebas son especialmente importantes para las API creadas por proveedores de nube. Sin embargo, debido a la importancia de la seguridad de las API en la nube para la auditoría y el cumplimiento, los usuarios deben verificar de forma independiente la seguridad de las API en la nube.

Si las claves de cifrado forman parte de los métodos de autenticación y acceso a llamadas API, almacene las claves de forma segura y nunca las codifique en archivos o scripts.

Realizar informes de cambios de API

Si bien la seguridad es una parte fundamental de la creación y el uso de API en la nube, es igualmente importante considerar las capacidades de registro de cambios y generación de informes. Esta característica ayuda a rastrear los recursos de la nube a los que acceden los usuarios, así como los cambios de datos y configuración.

Los desarrolladores de software que hacen referencia a una o más llamadas API de la nube cambian los datos alojados en la nube, publican nuevos recursos informáticos y cambian la configuración de recursos de la instancia de la nube. Cada una de estas actividades debe generar un seguimiento de registro al que los desarrolladores puedan acceder fácilmente. Los registros completos son fundamentales para las auditorías, el seguimiento legal y otras cuestiones regulatorias.