Az API kommunikáció biztonsági aspektusaira egyelőre nincsenek egzakt válaszok, de a Balasys megoldása segít a kikerülhetetlenné váló, API-k által jelentett biztonsági kockázatok kezelésében. (x)
Hirdetés
 

A Machine-to-Machine (M2M) technológia olyan adatáramlást jelent, amely emberi közreműködés nélkül gépek között zajlik. Fő célja, hogy egy adott szervezet vagy folyamat működési hatékonyságát javítsa, új üzleti lehetőségeket aknázzon ki, és értéknövelt szolgáltatásokat hozzon létre. Az M2M alkalmazások időmegtakarítást és kockázatcsökkentést eredményeznek, ugyanakkor jelentősen csökkenthetik az energiafelhasználást és a környezetszennyezést.

A versenyképesség múlik rajta

Mára gyakorlatilag az összes iparágban rohamosan terjed a felhasználása, legyen szó az üzleti szféráról, az iparról, elektronikus kereskedelemről, egészségügyről, közszolgáltatásokról, telekommunikációról vagy a kormányzati rendszerekről, ahol lokálisan és globálisan egyaránt használhatóak. Erre a technológiára épül mind az Internet of Things (IoT), mind az Ipar 4.0 trend, de ide tartozik a pénzügyi szektort fenekestül felforgató fintech jelenség is.

A gépi kommunikáció egyik legfontosabb pillérét a technológia irányából megközelítve az API-k jelentik. Az API (Application Programming Interface) egy olyan csatlakozási felület, ami megvalósítja a programok és alkalmazások közötti háttér- vagy backend-kommunikációt. Ez teszi lehetővé az egyes programok vagy alkalmazások integrálását egymással és az informatikai rendszerrel. Elősegíti az üzletmenet és a vállalat hatékonyságát, agilitást biztosít a technológiai változásokhoz és segít a termékek, szolgáltatások felügyeletében, ellenőrzésében.

Minden túlzás nélkül állítható, hogy API-k a szoftverek jövőjét jelentik. Így jelentőségüket nem lehet túlbecsülni, hiszen a vállalatok versenyképességét biztosító integrációs képesség múlik ezeken.

Hamarosan a kiberbűnözés elsődleges célpontjává válik

Ezt támasztja alá az IDC FutureScape: Worldwide IT Industry 2018 Predictions felmérése is, mely szerint a világ 2000 legnagyobb vállalkozásának a fele 2021-re a digitális szolgáltatásainak egyharmadát nyílt API ökoszisztémára fogja építeni. Ez a folyamat már most is nyomon követhető, elég a ProgrammableWeb API-kat összegyűjtő statisztikáját megtekinteni, ami évről évre exponenciális növekedést mutat, és 2018-ban már közel 20 ezer nyílt API leírását listázza. Ezek között az egyszerű fizetési szolgáltatások épp úgy megtalálhatók, mint az okos villanykörte programozását lehetővé tévő API megoldások.

Az API-k és ezeken keresztül a gépi kommunikáció biztonságának a megteremtése tehát nem véletlenül nélkülözhetetlen és rendkívül sürgető feladat. Egyrészt azért, mert a fejlesztői, üzemeltetői hibákból eredő incidensek komoly anyagi kárt, akár közszolgáltatások kimaradást okozhatják, másrészt pedig azért, mert fontosságukból eredően hamarosan a kiberbűnözés elsődleges célpontjává válnak.

Igazolja ezt az OWASP (Open Web Application Security Project) TOP 10-es alkalmazás biztonsági kockázatokat listázó rangsora is, amely előkelő helyen foglalkozik azzal, hogy a legtöbb webalkalmazás nem kezeli kellő biztonsággal az érzékeny adatokat, valamint arról is említést tesz, hogy nagyon gyakran olyan alkalmazásrészeket és komponenseket használnak a programozók, amelyekben ismert sebezhetőségei vannak.

Az elmúlt bő egy évben számos olyan incidens látott napvilágot, melyeknek középpontjában az API sebezhetőségek játszották az elsődleges szerepet. A célpontok között felhőszolgáltatások, IoT-eszközök, telekommunikációs szolgáltatások, mi több biztonságtechnikai termékek is találhatóak. Elég a Salesforce, a Tesla, a Twillio vagy éppen a Carbon Black incidensekre gondolni, ahol fejlesztői hiba, üzemeltetési figyelmetlenség vagy éppen egy 3rd party API-ban található sebezhetőség okozta a problémát.

Kikényszeríteni a forgalom biztonságosságát

Miközben a gépi kommunikációra épülő megoldások gyakorlatilag az élet minden területét behálózzák és az API kommunikációra épülő eszközök, alkalmazások határozzák meg a felhőszolgáltatások teljes ökoszisztémáját, az ipari rendszerek fejlődését és az okos eszközök terjedését. A terület biztonsági aspektusaira egyelőre még nincsenek egzakt válaszok. Mit kezdünk az API-kban található szoftverhibákkal? Ha egyáltalán sikerül felfedezni ezeket, mennyire triviális ezek kijavítása? Hogyan kezelhető ez a szituáció, amikor egy alkalmazás akár több tucatnyi más szolgáltató API-ját használja? De egyáltalán mennyire kontrollálhatóak az API hozzáférések?

A magyar alapítású Balasys több mint tizenöt éve foglalkozik határvédelmi és egyéb hálózatbiztonsági technológiák fejlesztésével, új API Gateway megoldásával pedig éppen ezekre a kérdésekre kíván választ adni. A vállalat új fejlesztése egy olyan API biztonsági megoldás, amely képes kikényszeríteni (kiterjeszthető definíció alapján), hogy csak a megfelelőnek ítélt forgalom juthasson el az API kiszolgálókig, validáljon, naplózzon és opcionálisan transzformálja az áthaladó forgalmat.

A Balasys megoldása egy transzparens proxy technológiára épül, ami biztosítja a finomhangolható, az egyes szolgáltatásoknak akár API hívásonként történő engedélyezését, valamint széleskörű lehetőséget kínál testre szabható, dinamikus biztonsági szabályok alkotására. Ez a rugalmasság pedig a kockázatok csökkentése mellett az üzletmenetet is támogatja. Segítségével a hozzáférések kontrollálhatóak, és megakadályozható számos szoftverhibából eredő támadás. Legyen szó IoT eszközökről, a PSD2 (Payment Services Directive 2) hatálya alá tartozó pénzügyi szervezetekről, vagy telekommunikációs szolgáltatóról, az API-k által jelentett biztonsági kockázatok kezelése kikerülhetetlenné válik a következő években.

Tudjon meg többet a magyar fejlesztő vállalat szeptemberben bemutatott új technológiájáról: zorp-apigateway.com

Biztonság

Mit keresnek a szoftverfejlesztők a gyártócégeknél?

A Manufacture IT Hungary konferencia idén is bemutatta az Ipar 4.0, a gyártóipar digitalizációjának újdonságait és gyakorlati alkalmazásait.
 
Hirdetés

Blokklánccal még a sör is finomabb

Az új technológiák önmagukban is rengeteg változást hoznak, teljesen átalakítanak, vagy felgyorsítanak üzleti folyamatokat, összekapcsolásukkal azonban még több eredményt lehet elérni.

A szemünk előtt válik egymás komplementerévé a két technológia. Az okos szerződésektől, az élelmiszeriparon keresztül az energiaelosztásig, szinte nincsen olyan terület, amit ne forradalmasítana blokklánc és a dolgok internetének összehangolt működése.

a melléklet támogatója az Oracle Hungary

Hirdetés

Mesterséges intelligencia a NAS-okban

A maga nemében egyedülálló a QNAP legújabb, TS-2888X NAS MI platformja. A QuAI a gépi tanulási modellek gyors létrehozásával, képzésével, optimalizálásával és telepítésével korábban elérhetetlen távlatokat nyit meg a felhasználók előtt.

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.