Diterbitkan: 20 November 2023
Kontributor: Crystal China, Michael Goodwin
Keamanan API mengacu pada praktik dan prosedur yang melindungi antarmuka pemrograman aplikasi (API) dari penyalahgunaan, serangan bot berbahaya, dan ancaman keamanan siber lainnya. API ini berfungsi sebagai bagian dari keamanan web tetapi dengan fokus khusus pada API, yang semakin penting untuk manajemen TI perusahaan.1
API kini berfungsi sebagai landasan transformasi digital, memungkinkan perusahaan menawarkan layanan kepada pengembang dan mitra eksternal. Karena API mengatur komunikasi dan pertukaran data antar aplikasi, API dapat memfasilitasi pengalaman pengguna yang lebih terhubung, memperluas jangkauan bisnis secara keseluruhan, dan mendorong inovasi teknologi yang melampaui batas. API juga merampingkan integrasi layanan sehingga bisnis dapat beradaptasi dengan cepat terhadap perubahan pasar dan permintaan pelanggan.
Namun, seiring dengan berkembangnya API, begitu pula dengan masalah keamanan yang sering menyertainya.
API berada di antara sumber daya TI organisasi dan pengembang perangkat lunak pihak ketiga atau antara sumber daya TI dan individu, yang memberikan data dan informasi pada titik akhir proses. Karena titik akhir ditampilkan ke dunia eksternal, mereka dapat menjadikan API target yang menguntungkan untuk berbagai jenis serangan.
Pelajari bagaimana APM dan ARM dapat memungkinkan keputusan dan penerapan sumber daya yang lebih cepat.
Mendaftar untuk mendapatkan panduan tentang observabilitas
Evolusi manajemen API dan keamanan API secara intrinsik terkait dengan evolusi API itu sendiri. API awal terutama berfokus pada komunikasi antarproses dalam satu sistem. Dengan demikian, keamanan (atau ketiadaan keamanan) tidak terlalu menjadi perhatian, karena komunikasi terbatas pada satu mesin.
Namun, dengan munculnya Internet of Things (IoT) dan arsitektur layanan mikro cloud native, API diperluas untuk memungkinkan komunikasi yang lancar dan perutean panggilan antar aplikasi dan di seluruh lingkungan DevOps. API modern dan berkualitas tinggi—misalnya, transfer status representasi (REST), protokol akses objek sederhana (SOAP)—dapat mengatur integrasi aplikasi, menentukan format data, dan mendikte jenis, prosedur, dan konvensi panggilan.
API Web-GraphQL, REST API , dan SOAP API, secara khusus-mengubah lanskap dengan memperluas fitur-fitur untuk menyertakan kemampuan integrasi yang luas di berbagai jaringan yang kompleks.
Namun karena teknologi canggih sangat bergantung pada titik akhir API untuk fungsionalitasnya, bisnis dan tim keamanan harus menerapkan langkah-langkah keamanan yang kuat untuk melindungi data dan layanan web, dan pada akhirnya mendapatkan hasil maksimal dari sumber daya TI.
Jika tidak diamankan dengan benar, titik akhir API dapat memungkinkan aktor jahat mendapatkan akses tidak sah ke data sensitif, mengganggu operasi layanan, atau keduanya, dengan konsekuensi yang berpotensi menghancurkan. Ancaman yang umum meliputi:
- Serangan berbasis autentikasi, ketika peretas mencoba menebak atau mencuri kata sandi pengguna atau mengeksploitasi mekanisme autentikasi yang lemah untuk mendapatkan akses ke server API.
- Serangan man-in-the-middle, ketika aktor jahat mencuri atau memodifikasi data (misalnya, kredensial login atau informasi pembayaran) dengan mencegat permintaan atau respons API.
- Serangan injeksi kode/injeksi—di mana peretas mengirimkan skrip berbahaya (untuk menyisipkan informasi palsu, menghapus atau mengungkapkan data, atau mengganggu fungsionalitas aplikasi) melalui permintaan API, dengan mengeksploitasi kelemahan pada penerjemah API yang membaca dan menerjemahkan data.
- Kesalahan konfigurasi keamanan — di mana informasi pengguna yang sensitif atau detail sistem terekspos karena konfigurasi default yang tidak memadai, berbagi sumber daya lintas asal (CORS) yang terlalu permisif atau header HTTP yang salah.
- Serangan Denial-of-service (DoS), serangan ini mengirimkan sejumlah permintaan API yang membuat server macet atau melambat. Serangan DoS sering kali datang dari beberapa penyerang secara bersamaan dalam apa yang disebut sebagai serangan denial-of-service terdistribusi (DDoS).
- Serangan otorisasi tingkat objek yang rusak (Broken Object Level Authorization/BOLA)-terjadi ketika penjahat siber memanipulasi pengidentifikasi objek di titik akhir API untuk memperluas permukaan serangan dan mendapatkan akses tidak sah ke data pengguna. Serangan BOLA sangat umum terjadi, karena menerapkan pemeriksaan otorisasi tingkat objek yang tepat bisa jadi sulit dan memakan waktu.
Dalam ekonomi digital yang dinamis, API sangat penting untuk kelincahan bisnis, tetapi sifatnya yang terbuka dapat menimbulkan risiko keamanan data yang signifikan. Pelanggaran keamanan API menyebabkan kebocoran data besar-besaran, bahkan untuk perusahaan besar dan bereputasi baik seperti John Deere, Experian, dan Peloton.2
Dan dalam lingkungan teknologi global, kerentanan keamanan mengancam semua penyedia layanan utama, apa pun industri atau lokasi geografisnya. Sebagai salah satu contoh, serangan API tahun 2022 terhadap perusahaan telekomunikasi Australia, Optus, mengekspos nama, nomor telepon, detail paspor, dan informasi SIM dari hampir 10 juta pelanggan.3
Insiden ini menggarisbawahi pentingnya perlindungan API dan telah mempercepat pengembangan strategi dan alat keamanan API yang komprehensif.
Menerapkan protokol keamanan API yang ketat melindungi data, aplikasi, dan layanan yang ditunjukkan oleh titik akhir API dan melindungi ketersediaannya untuk pengguna yang sah pada saat yang bersamaan. Keamanan API bukan hanya tentang melindungi titik akhir. Keamanan API ini juga memprioritaskan keamanan interaksi jaringan seperti transmisi data, permintaan pengguna, dan komunikasi antar aplikasi di seluruh siklus API.
Beberapa solusi keamanan API yang paling umum untuk menopang infrastruktur TI meliputi:
Autentikasi adalah proses verifikasi identitas pengguna, sistem, atau proses. Dalam konteks API, autentikasi ini mengacu pada penggunaan protokol autentikasi pengguna seperti OAuth 2.0, kunci API, dan spesifikasi JWT, untuk memastikan bahwa pemohon adalah orang yang sesuai dengan yang diklaimnya.
Sebaliknya, otorisasi adalah proses memverifikasi apa yang dapat diakses oleh pengguna yang diautentikasi. Setelah pengguna diautentikasi, kontrol akses berbasis peran harus membatasi akses pengguna secara ketat ke sumber daya yang mereka butuhkan atau minta.
Dengan enkripsi, teks biasa dan jenis data lainnya dikonversi dari bentuk yang dapat dibaca ke versi yang dikodekan yang hanya dapat diterjemahkan oleh entitas dengan kunci dekripsi. Dengan menggunakan teknologi enkripsi seperti transport layer security (TLS), koneksi SSL, dan protokol enkripsi TLS, tim dapat memastikan bahwa lalu lintas API tidak akan dicegat atau diubah oleh aktor jahat atau pengguna yang tidak sah.
Protokol validasi input melindungi API dari data berbahaya, seperti serangan injeksi SQL dan skrip lintas situs, dengan memastikan input memenuhi kriteria tertentu (panjang, jenis, format, rentang, dll.) sebelum diproses. Memanfaatkan firewall aplikasi web (WAF) dan validasi skema XML atau JSON dapat membantu tim keamanan mengotomatiskan proses validasi, menganalisis permintaan yang masuk dan memblokir lalu lintas berbahaya sebelum mencapai server.
Pembatasan laju mengamankan sumber daya API dari serangan brute force dan DoS dengan membatasi jumlah panggilan yang dapat dilakukan pengguna atau alamat IP dalam jangka waktu tertentu. Batas kecepatan memastikan bahwa semua permintaan API diproses dengan segera, dan tidak ada pengguna yang dapat membanjiri sistem dengan permintaan yang berbahaya.
Seperti pembatasan kecepatan, pelambatan membatasi jumlah panggilan API yang diterima sistem. Namun, alih-alih beroperasi pada tingkat pengguna/klien, throttling bekerja pada tingkat server/jaringan. Batas throttling dan kuota mengamankan bandwidth sistem backend API dengan membatasi API pada sejumlah panggilan, pesan, atau keduanya, per detik.
Header keamanan bisa sangat efektif untuk mencegah serangan clickjacking. Header "kebijakan-keamanan-konten", misalnya, memberi tahu browser sumber daya mana yang dapat diminta dari server. Header "x-content-type-option" menghentikan browser untuk mencoba mengendus jenis konten MIME, dan header "strict-transport-security" memberlakukan koneksi yang aman (HTTP melalui SSL/TLS) ke server.
Memasang gateway API adalah salah satu cara termudah untuk membatasi akses API dan menambahkan lapisan keamanan jaringan tambahan, terutama dalam kasus API terbuka. Gateway API bertindak sebagai satu titik masuk untuk semua permintaan API yang diterima sistem, menstandarkan interaksi API, dan menawarkan fitur keamanan seperti caching, analitik, komposisi API, pembatasan tarif, enkripsi, logging, dan kontrol akses.
Menyimpan log audit yang komprehensif dan terbaru, dan sering meninjaunya, memungkinkan organisasi melacak akses dan penggunaan data, serta mencatat setiap permintaan API. Mengingat kompleksitas ekosistem API, mengikuti perkembangan aktivitas API bisa jadi cukup menyita tenaga, tetapi prosedur audit dan pencatatan dapat menghemat waktu saat tim perlu menelusuri kembali langkah-langkah mereka setelah terjadi pelanggaran data atau penyimpangan kepatuhan.
Penanganan kesalahan secara proaktif di lingkungan API dapat mencegah penjahat siber mengungkapkan informasi sensitif tentang proses API. Idealnya, setiap kesalahan API akan mengembalikan kode status HTTP yang secara umum menunjukkan sifat kesalahan, memberikan konteks yang cukup bagi tim untuk memahami dan mengatasi masalah tanpa mengambil risiko eksposur data yang berlebihan.
Seperti halnya aplikasi atau sistem perangkat lunak apa pun, pemantauan dan pemeliharaan real-time yang waspada sangat penting untuk menjaga keamanan API. Awasi aktivitas jaringan yang tidak biasa dan perbarui API dengan patch keamanan terbaru, perbaikan bug, dan fitur baru.
Organisasi juga harus mengadopsi standar keamanan yang tepat waktu seperti rekomendasi keamanan API dari Open Web Application Security Project (OWASP). Daftar 10 Besar Keamanan API OWASP, misalnya, menawarkan kerangka kerja untuk memahami dan memitigasi ancaman keamanan API yang paling kritis dan umum, seperti otentikasi yang rusak, penugasan massal, dan pemalsuan permintaan sisi server.
Setiap versi baru perangkat lunak API dilengkapi dengan pembaruan keamanan dan perbaikan bug yang menopang celah keamanan di versi sebelumnya. Tetapi tanpa praktik pembuatan versi yang tepat, pengguna dapat secara tidak sengaja (atau sengaja) menerapkan versi API yang sudah ketinggalan zaman dan membahayakan data sensitif. Praktik pembuatan versi dan dokumentasi yang penuh perhatian memungkinkan perusahaan untuk mempercepat pengembangan API dan menghapus versi API yang lebih lama tanpa mengganggu layanan, mendorong pengguna ke iterasi yang lebih baru dan lebih aman.
Misalnya, jika tim menemukan kelemahan keamanan di v1 API, mereka dapat memperbaikinya di v2. Dan dengan penerapan versi, tim keamanan dapat mendorong pengguna untuk bermigrasi dari v1 ke v2 dengan kecepatan mereka sendiri, sambil memperjelas dalam dokumentasi versi bahwa v1 memiliki kerentanan keamanan yang diketahui.
Pengujian keamanan mengharuskan pengembang untuk mengirimkan permintaan standar menggunakan klien API untuk menilai kualitas dan ketepatan respons sistem. Melakukan tes keamanan rutin untuk mengidentifikasi dan mengatasi celah keamanan membantu tim memperbaiki kerentanan API sebelum penyerang memiliki kesempatan untuk mengeksploitasinya.
IBM API Connect adalah solusi manajemen API siklus hidup penuh yang menggunakan pengalaman intuitif untuk membantu membuat, mengelola, mengamankan, menyosialisasikan, dan memonetisasi API secara konsisten, membantu mendukung transformasi digital on premises dan di seluruh cloud.
IBM API Connect menawarkan berbagai kemampuan untuk mengamankan, mengontrol, dan memediasi akses ke API Anda. Mengontrol akses ke API melalui autentikasi dan otorisasi yang menggunakan OAuth, OpenID Connect, dan layanan pihak ketiga. Terapkan di mana saja, dari DMZ hingga lokasi bersama dengan aplikasi cloud-native dan layanan mikro Anda, melindungi akses saat waktu proses, di mana saja.
Tingkatkan keamanan API di seluruh perusahaan Anda dengan kemampuan canggih yang didukung AI. IBM, pemimpin dalam manajemen API dan gateway aplikasi, berkolaborasi dengan pemimpin keamanan API, Noname Security, untuk menghadirkan kemampuan keamanan API yang canggih. Solusi bersama ini membantu Anda mencapai tingkat kepercayaan keamanan baru.
Maksimalkan nilai API untuk mendorong bisnis digital dengan solusi manajemen API yang komprehensif.
Tutorial ini memberikan instruksi langsung yang membantu pengembang mempelajari cara menggunakan teknologi dalam proyek mereka.
Datang untuk mendapatkan jawaban. Tetap untuk praktik terbaik. Kami sangat menantikan kehadiran Anda.
Catatan kaki
1 Ringkasan Penelitian: Urgensi Mengatasi Keamanan API dalam Program Keamanan Aplikasi (tautan berada di luar ibm.com), Grup Strategi Perusahaan, 16 Oktober 2023.
2 Di Radar: Wib mengamankan API sepanjang siklus hidup penuhnya (tautan berada di luar ib m.com), Omdia, 1 September 2023.
3 Pelanggaran keamanan API besar berikutnya membayangi: inilah cara mempersiapkannya (tautan berada di luar ibm.com), SC Magazine, 19 Oktober 2023.