A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.

A vállalati rendszerek működtetésében ma már elengedhetetlen az ügyfelek, a cégek és a partnerek közötti minél gyorsabb, és biztonságosabb kapcsolattartás és adatcsere. Ez a nyilvános API-k (Application Programming Interface-ek) számának exponenciális növekedésével jár. Az API-k teszik elérhetővé az alkalmazás adatokat a kapcsolódó felek, eszközök és szolgáltatások számára, így több tízezer webes és felhőszolgáltatást, mobil- és IoT eszközt kötnek össze, és általuk valósítható meg a zökkenőmentes gépi kommunikáció (machine-to-machine, M2M) is.

Az M2M technológia elterjedésével egyre nagyobb az igény a szigorú biztonságra is
Az M2M technológiát már minden jelentős szektorban alkalmazzák világszerte, az üzleti szférától az ipari vállalatokon át az egészségügyi, telekommunikációs és kormányzati rendszerekig, mivel javítja a szervezetek működési hatékonyságát, új üzleti lehetőségeket és versenyelőnyt teremt a vállalatok számára, amellyel értéknövelt szolgáltatásokat hozhatnak létre. Erre a technológiára épül mind az Internet of Things (IoT), mind az Ipar 4.0 trend, de ide tartozik a felhőszolgáltatások és a különböző alkalmazások kommunikációja is. A gépi kommunikáció és annak automatizálása azonban folyamatos kihívások elé állítja a biztonsági szakembereket, mivel a támadások egyre inkább ezt a nehezebben kontrollálható területet használják kiskapunak a vállalati rendszerhez való bejutáshoz.

Mi okozza a biztonsági kihívást az API-k és az M2M technológia használatában?
Amellett, hogy a gépi kommunikáció biztonságossá tételéhez ugyanazokat az általános biztonsági módszertanokat kell alkalmaznunk mint minden vállalati hálózatban (tikosítás, hitelesítés, hozzáférés-ellenőrzés, biztonságos protokollok használata, tűzfal és IDS használata, firmware frissítések, rendszeres biztonsági auditok és pentesting, folyamatos monitoring), az alábbi három főbb problémaforrást is figyelembe kell vennünk:

1. Elhanyagolt API fejlesztés: a meglévő és jelentős mennyiségben újonan keletkező API-k már egy kezelhetetlen, kontrollálhatatlan rendszert alkotnak, amely ellehetetleníti hogy a vállalatok akár az alapvető OWASP követelményeket lefedjék.

2. Túl gyorsan fejlődő API-k: nincs elegendő idő a tesztelésre, így az esetleges sérülékenységek felfedezésénél egy rendkívül gyors hibajavításra van szükség az üzletmenet folytonosságának biztosításához.

3. Külsős (3rd party) API-k: a harmadik fél által biztosított API-k mindig kiemelt kockázatot jelentenek a vállalati rendszerben, ezek megfelelő kontrolljára és felügyeletére nem elegendő a naplózás, fontos, hogy egyedi szabályokat tudjunk kikényszeríteni a biztonságtól az üzleti logikáig.

A Balasys megoldása az M2M kommunikáció biztonságossá tételére vállalati környezetben
A Balasys kifejezetten az API-k menedzselésére és az M2M kommunikáció biztonságossá tételére fejlesztette ki Proxedo API Security megoldását egy olyan biztonsági átjárót, amellyel a  szervezetek teljeskörűen menedzselhetik API integrációjukat. A hazai fejlesztésű, EU-s adatvédelmi (GDPR) és Zero Trust alapelveknek megfelelő megoldás, a PNS fejlesztéséhez a Balasys IT Zrt. a CARINEX Kft-vel konzorciumban 484,3 millió forintot meghaladó vissza nem térítendő támogatást nyert el az NKFI Kis-, közép- és nagyvállalatok KFI tevékenységének támogatása című pályázati kiíráson.

A Balasys megoldásának egyedisége abban rejlik, hogy egy transzparens proxy technológiára épül, amelynek segítségével lehetőség nyílik az összes API-kérés validálására és átfogó tartalomelemzésre még a titkosított csatornák esetében is. Segítségével finomhangolható az egyes szolgáltatásoknak akár API hívásonként történő engedélyezése, valamint széleskörű lehetőséget biztosít testre szabható, dinamikus biztonsági szabályok alkotására is.

Az Proxedo API Security olyan mértékű rugalmasságot biztosít, amely elősegíti az üzletmenet folytonosságának támogatását, valamint olyan magas fokú biztonságot eredményez, amely megfelel a legmagasabb szintű pénzügyi megfelelőségi előírásoknak is, mint a PSD2, PCI-DSS és a NIS2.

A termék elérhetősége

Biztonság

Linus Torvalds eligazította a generatív mesterséges intelligenciát

Már nagyon hiányzott a megfelelő iránymutatás a linuxos közösségnek.
 
Hirdetés

Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében

"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.