Как обеспечить безопасность API через прокси-серверы: обзор методов

Сегодня поговорим простым языком как обеспечить безопасность своих API, зачем это нужно и что/кто вообще угрожает этим API.
326 44
Как обеспечить безопасность API через прокси-серверы: обзор методов
Иллюстрация: Вера Ревина/Клерк.ру

Что такое API 

API (application programming interface) – это часть программы, которая отвечает за взаимодействие с другими программами. 

Например, у вас есть интернет магазин по продаже мебели. У интернет магазина может быть API для запроса товарных остатков или каталога. То есть это такая «точка» в сети Интернет, куда может обратиться любой желающий и спросить «а сколько у вас сейчас стоит диван с артикулом 1203432?»

Как правило пользователями  API являются другие программы, а не обычные пользователи. 

Например, в API вышеупомянутого магазина может обращаться сайт-агрегатор и автоматизировано собирать информацию о ценах в других интернет-магазинах. 

Простым языком API это такая «розетка» к которой можно подключиться и узнать какие то данные из другой ИТ-системы. Или еще проще API это сайт, но без интерфейса, на нем нет кнопок и окошек, это сайт для других программ. 

Используйте возможности самого быстрого и надежного в мире прокси API, чтобы за считанные секунды обойти любые ограничения по местоположению и анонимно провести сравнение цен, сопоставление продуктов, защиту бренда, исследование рынка, привлечение потенциальных клиентов и многое другое. 

Разграничение прав доступа

Теперь поговорим про безопасность. Казалось бы, API отдаёт информацию об остатках на складе и что тут такого? 

Но представим ситуацию, что не каждому пользователю можно видеть информацию о всех товарах. Это один из аспектов безопасности – разграничение прав доступа. Каждая роль видит только свою часть информации. Такие же правила доступа должны быть установлены и для API. А бывают такие ситуации, когда доступ к API возможен только ограниченному кругу лиц. 

Для примера возьмем API интернет-банка. Ситуация будет выглядеть фарсом, если любой желающий сможет обращаться к API и переводить деньги с одного счета на другой. Чтобы такого не происходило, используются специальные ключи — токены. Только пользователи / программы, которые передали вместе с обращением к API свой токен могут выполнить запросы к этому API.

DDOS-атаки

Следующей угрозой рассмотрим DDOS-атаки. Ок, вы сделали интернет магазин, доступ разграничили, лишний не пройдет. Но никто не отменял конкурентов, которым что нужно? Правильно, чтобы сайт перестал работать, ведь когда не работает ваш сайт, конкуренты зарабатывают больше. 

На простом языке, DDOS-атака это как если бы вы общались одновременно с десятками человек, не по-очереди, а одновременно пытались ответить очень большому количеству людей. Так и с сайтами в сети Интернет, если запустить сайт в сотнях тысяч браузеров, сервер с сайтом не справится с нагрузкой и перестанет отвечать на запросы пользователей.

Вредоносные запросы

Допустим, никто не выдает на ваш сайт бешеную нагрузку, все ок, переживать не о чем? На самом деле DDOS-атаки это довольно «топорный» метод атаки, при должном усердии можно заблокировать атакующих. 

Но злоумышленники могут работать и более «тонко». Практически любой сайт / API , подвержен уязвимостям. Какие-то уязвимости более известны и исходят из ошибок разработчиков операционных систем, языков программирования, а есть уязвимости которые порождает разработчик сайта / API. 

Но суть одна, злоумышленник может нарушить работу вашего сайта / API выполнив специальный «вредоносный» код, которые будет эксплуатировать уязвимости вашего ПО. 

Результатом такой атаки могут быть временный вывод из строя ПО, фальсификация данных, и даже полная утечка / удаление данных. 

Шифрование данных 

Следующим важным аспектом в обеспечение безопасности рассмотрим вопрос шифрования данных

Допустим, вы подключились к незнакомой точке Wi-Fi и решили заполнить форму на сайте, передав свои персональные данные. Казалось бы, в чем риск. Но одной из самых распространенных атак в сети является «атака посредника». Простыми словами, вы думаете, что общаетесь с оригинальным сайтом, но на самом деле вы работаете с подменным сайтом, который злоумышленник продемонстрировал вам через уязвимую точку Wi-Fi.

Одним из способов защиты от такого вида атак можно порекомендовать использовать VPN-сервисы и стараться избегать подключения к «бесплатным» Wi-Fi точкам. 

Как видим, есть целые классы угроз, которые могут нарушить работу вашего сайта / API. Тогда сразу возникает вопрос: «А как этот интернет еще продолжает работать, если вокруг все такое не безопасносное?»

Давайте разбираться. 

Методы обеспечения безопасности

Начнем с самого простого. Ваш сайт или API , могут быть не опубликованы в глобальной сети и работать в сети локальной, корпоративной. И конечно, кроме глобального Интернета есть множество других сетей.

Например, локальные сети компаний, в которые просто так с любого браузера не зайдешь.

Это кардинальные меры, как говорится если «у вас нет сайта, то вам его и не взломают». Но сегодня поговорим о кейсах, когда ваше API опубликовано в сети и доступно практически любому желающему.

Одним из надежных способ обеспечить безопасность ваших сайтов и API это использование прокси-серверов.

Рассмотрим основные преимущества таких решений.

Фильтрация трафика

Если все очень сильно упростить, Интернет работает так. Есть сервер, на котором хранится код сайта , и есть браузеры мобильные и десктопные, которые посылают запрос к серверу, получают код сайта и отрисовывают его в своем окне. 

Между пользователем и сайтом или между API происходит обмен данными.

Прокси-серверы позволяют анализировать такой трафик, отсекать вредоносные запросы и сохраняют вашу приватность.

Авторизация и аутентификация и ограничение доступа

В ИТ-сфере, как и любой другой инженерной среде есть множество способов решения одних и тех же задач. Выше мы обсуждали, для чего нужна ролевая модель доступа к API и сервисам. Такую ролевую модель можно реализовать как на уровне кода API / сайта. Так и делегировать задачи авторизации и аутентификации прокси-серверам. 

Помимо задач авторизации бывают задачи ограничения доступа к API на основе IP-адресов, геолокации или других параметров для повышения безопасности. В таких задачах также широко используются прокси-серверы. 

К дополнительным функциям прокси-серверов можно отнести:

  • обеспечение дополнительного шифрования данных, передаваемых через API, для защиты конфиденциальности и целостности информации;

  • повышение отказоустойчивости и масштабируемости через использование прокси-серверов, позволяющих сбалансировать нагрузку на различные серверы API.

Когда в организациях приходят к решению -- нам точно понадобятся прокси-серверы, сразу приходят, как правило, к следующему выбору: 

  • собрать свою сеть прокси-серверов самостоятельно

  • арендовать у вендора.

Попробуем сравнить каждый из подходов и найти свои плюсы и минусы в каждом из них.

Собственная прокси-сеть

✅возможно, получится сэкономить;

✅полный контроль над всем трафиком, насколько это возможно;

✅гибкие возможности в настройке собственной инфраструктуры.

❌сложность в настройке и масштабировании;

❌высокая стоимость поддержки актуальности инфраструктуры, т.е. нужно постоянно думать, а все ли уязвимости мы закрываем?

Арендованная прокси-сеть

✅простота настройки;

✅простота масштабирования;

✅высокая скорость сети;

✅делегирование вопроса поддержания актуальности обновлений – провайдеру сети.

❌потребует некоторых регулярных вложений в аренду сети;

❌более ограниченные, по сравнению с собственной сетью, возможности по настройке 

Подведем итог

Если у вас бизнес в своей основной деятельности не занимается ИТ-направлением, мы бы рекомендовали обратиться к провайдерам прокси-сетей

Если же у вас есть собственный штат системных администраторов, стоит задуматься о создании своей инфраструктуры. Хотя, все конечно, зависит от задачи. Если перед вами стоит задачи масштабного парсинга с прокси-сетями от специальных провайдеров вряд ли смогут конкурировать сети собранные для более простых задач.

Начать дискуссию

НДФЛ

Работодатель должен удержать НДФЛ с НДФЛ, если оплатил иностранному работнику патент

Иностранцы, которые работают в России по патенту, для его получения должны уплатить фиксированные авансовые платежи по НДФЛ. При желании уплатить этот патентный НДФЛ за своих сотрудников может и работодатель. Но тогда с сотрудника надо удержать НДФЛ за НДФЛ.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

Как открыть свой первый магазин и не прогореть? Чек-лист по выбору ТЦ

Скрытые платежи, отсутствие клиентов, проблемы с ремонтом и никаких арендных каникул — лишь часть проблем на пути арендатора, который не провел тщательную оценку торговой площади.

Иллюстрация: Вера Ревина/Клерк.ру
Бесплатно с Уведомление по ЕНП

Какие налоги войдут в уведомление по ЕНП в феврале 2024 года

Одно уведомление в феврале бухгалтеры уже сдали по сроку 05.02.2024. До 26 февраля надо сдать еще одно.

Какие налоги войдут в уведомление по ЕНП в феврале 2024 года
Лучшие спикеры, новый каждый день
НДС

🍕 Пицца облагается НДС 10%, если она чуть-чуть не доготовлена

Для замороженной готовой пиццы, которую надо только разогреть, нет ставки НДС 10%, а для замороженной пиццы, которую надо 5 минут запекать в микроволновке, есть ставка НДС 10%.

С 2022 года против РФ ввели больше 15 тысяч санкций

Число установленных против России санкций в три раза превысило объем ограничений против Ирана за 40 лет.

Общество

Цифра дня. Про подарки

В этом году россияне масштабнее, чем в прошлом, будут праздновать День защитника Отечества.

Цифра дня. Про подарки
Опытом делятся эксперты-практики, без воды
НДС

Возмещение ущерба от контрагента по НДС-разрывам в цепочке не облагается налогом на прибыль

Полученная выплата по налоговой оговорке – это не доход. Налога с нее не будет.

Как заполнить строку 124 декларации по УСН

В разделе 2.1.1 декларации по УСН есть строка 124 для основания пониженной ставки, установленной в регионе. Ее заполняют компании и ИП на УСН «доходы», если они применяют ставку менее 6%.

Признаки дробления не будут вносить в Налоговый кодекс. На что ориентироваться бухгалтерам в 2024 году

Чиновники из Минфин отказались вносить такие поправки в НК. По их мнению это не имеет смысла, так как бизнес постоянно придумывает новые схемы. Поэтому фиксировать уже известные признаки дробления нецелесообразно.

Признаки дробления не будут вносить в Налоговый кодекс. На что ориентироваться бухгалтерам в 2024 году
Банки

Центробанк пересмотрит страхование денег на электронных кошельках

После отзыва лицензии у QIWI банка держатели средств на электронных кошельках не смогут вернуть свои деньги по закону о страховании вкладов. Это планируют пересмотреть.

🧠Мозгонапрягатель. Неожиданно в четверг

Креативное задание на удлиненные выходные. Придется реально напрягать мозги. Готовы?

🧠Мозгонапрягатель. Неожиданно в четверг
6
75

Как доказать отсутствие обязанности у директора подать в суд заявление о банкротстве компании?

📌Одно из оснований для привлечения к субсидиарной ответственности — не подача заявления о банкротстве директором.

Миникурсы, текстовые и видеоинструкции для бухгалтеров

Дашборды и другие инструменты визуализации: как сделать аналитические данные понятными

Визуализация данных — инструмент, который поможет вам собрать разрозненные факты в единую картинку. В статье расскажу о том, как этот инструмент используется для автоматизации работы компаний.

Дашборды и другие инструменты визуализации: как сделать аналитические данные понятными

Интересует доступ к сервису Клерк.Премиум + Консультации?

Коллеги, приветствую! Продам доступ к сервису Клерк.Премиум+Безлимитные консультации. Срок доступа до 28.12.2024, то есть 10 месяцев. Стоимость 14000 рублей. С руководством Клерка согласовано. Менеджер поможет вам подключить аккаунт. Если заинтересовались – пишите мне в личку. Отвечу на все вопросы, подскажу по сервису.

🔣 ФНС объяснила, какие данные отражают в акте сверки по ЕНС

Компания или ИП могут запросить в ФНС акт сверки принадлежности денежных средств, перечисленных в качестве ЕНП.

Старт сетевого бизнеса

Сетевой бизнес сегодня набирает популярность, так как даёт возможность получения неограниченных доходов от общих продаж партнёров и позволяет реализовать модель пассивного заработка.

Старт сетевого бизнеса

Обучение для Product Owner: ТОП-15 лучших курсов

Product Owner (продукт или продакт оунер), или владелец продукта, обладает бесценным знанием о потребностях пользователей, их проблемах, а также о возможностях, которыми располагает команда разработчиков. Он использует свои наблюдения во благо всего проекта.

Обучение для Product Owner: ТОП-15 лучших курсов

Перевозчики будут передавать властям личные данные пассажиров

В единую базу данных поступят сведения о банковских картах пассажиров, об их IP-адресах, телефонах, e-mail и паролях учетных записей.

267

Как бухгалтеру зарабатывать от 150 тыс. руб. в месяц

Согласно статистике, средняя зарплата бухгалтера составляет 55 тыс. руб. Надо делать поправку на город и сферу бизнеса, но в целом — это базовая оплата. Если же правильно выбрать направление для развития, зарабатывать можно и 150, и 200 тыс. руб. в месяц. Даем рекомендации, как увеличить доход.

Создано с помощью ИИ Kandinsky © Елена Балаклицкая, Клерк.ру
4
310

Топ-5 ошибок при заполнении 6-НДФЛ: как их исправлять и не совершать

Не позднее 26 февраля 2024 года в инспекцию необходимо сдать расчёт 6-НДФЛ за 2023 год. Эта форма всегда вызывала немало вопросов у бухгалтеров. Разберём подробно, какие ошибки чаще всего допускают, когда заполняют 6-НДФЛ, и как их избежать.

Топ-5 ошибок при заполнении 6-НДФЛ: как их исправлять и не совершать