API NEWS | ​深入了解 Tinder API 网关

本周，我们带来的分享如下：

• 深入了解 Tinder API 网关

• 如何保护 API 密钥和运行时机密

• 开放银行 API 安全最佳实践

• SBOM如何帮助 API 攻击

API 网关是 API 安全的支柱，尤其是在实施传输安全和速率限制方面。我对Tinder采取的不寻常的方法很有兴趣，他们采取了不同寻常的步骤来构建自己的API网关解决方案：Tinder API Gateway（TAG）。他们做出该决定的主要是因为无法跨应用程序团队扩展其当前环境，包括 500 多个微服务和多个不同的 API 网关。这导致了复杂性、维护挑战以及网关策略的不一致实施。

TAG 背后的核心设计概念是配置驱动开发，开发团队可以用特定于 TAG 的表示法定义其路由要求，并在部署时由 TAG 自动配置。

• 请求和响应扫描

• 用于自动生成 API 文档的架构注册表

• 检测漏洞，如机器人攻击和实时流量检测

• API 标准化和审核流程

• 一致和统一的会话管理

• TAG 执行反向地理位置 IP 查找 （RGIL） 以确定国家/地区代码，然后执行速率限制或请求禁止。

• TAG 扫描请求和响应以检查语义，然后在内部将数据流式传输到其他服务，例如机器人检测。

• TAG 通过全局过滤器管理会话。

• TAG 对请求进行预过滤，以便在内部服务处理请求之前从请求中删除任何不需要或意外的数据。

• TAG 使用预定义的筛选器对响应进行后筛选，以删除任何无关或意外的数据，例如筛选错误日志。

所有这些都可能允许攻击者收集有关其他用户的信息，被恶意使用。

之前已经介绍了移动应用程序中的 API 漏洞，攻击者能够使用简单的逆向工程方法从移动应用程序中检索 API 密钥或应用程序机密。本周，我们将介绍如何保护 API 密钥和运行时机密。

本文详细介绍了如何使用 Approov 移动保护来保护移动应用程序的完整性（称为移动应用证明）并为机密提供安全的传递通道。

接下来是HelpNetSecurity关于开放银行中API安全最佳实践的文章。虽然超过90%的银行现在提供开放银行服务以推动创新和个性化银行服务，但近二分之一的客户对开放银行存在安全问题。

• 超越传统的 API 方法和最佳实践 — 考虑使用自学 AI、行为分析、安全分析、自动化……

• 采用安全设计理念 — 假设最坏的情况并为此进行设计。

• 主动发现 API 并跟踪您的库存 – 您无法保护看不到的内容。

• 采用基于风险的安全方法 — 了解重要因素并加以保护。

• 实施零信任策略。

• 识别并修复漏洞、漏洞和配置错误 — 持续减少攻击面。

• 实时阻止 API 攻击。

继拜登总统于 2021 年 5 月发布关于改善国家网络安全的行政命令之后，SBOM 已成为软件安全行业的热门话题。对于不熟悉 SBOM 的人，可以将其视为应用程序的组件列表：通常，它们包括应用程序使用的依赖项（库和组件）。直观地说，拥有最新的 SBOM 允许组织根据构成组件的风险立即评估应用程序可能带来的风险。

感谢 APIsecurity.io 提供相关内容