API-rajapintojen hallinta ja tietoturva

Abstract

Nykyaikaiset web-pohjaiset rajapinnat ovat käytössä digitaalisessa maailmassa kaikkialla. Rajapintoja on niin pilvipalveluiden takana, esineiden internetissä, mobiilisovelluksissa, kuin järjestelmien välisissä integraatioissa. Rajapintojen hallinta ja niiden tietoturva ovat nousseet esille viime vuosina julkisessa kes-kustelussa tietoturvahyökkäysten myötä. Organisaatioissa on myös havaittu ongelmia sen suhteen, miten API-rajapintoja voidaan hallita niiden elinkaaren eri vaiheissa. Tutkielmassa tutustuttiin web pohjaisten rajapintojen taustoihin ja tämän hetkiseen yleisimmin käytettyyn arkkitehtuurimalliin, joka on REST. API-rajapintojen hallinnan eri haasteita esiteltiin yleisellä tasolla ja kuvattiin hallintaohjelmistojen eri ominaisuuksia. Tietoturvan osalta tunnistettiin ylei-simpiä haavoittuvuustyyppejä, jotka teknisessä mielessä ovat hyvin yhteneväi-siä web-sovellusten haavoittuvuuksien kanssa. Teknisen näkökulman lisäksi API-rajapintojen haavoittuvuuksiin voidaan lukea inhimillisemmät seikat, ku-ten turvallisuudentunne tai huolimattomuus. Ratkaisut rajapintojen haavoittu-vuuksilta suojautumiseksi ovat teknisessä mielessä samoja web sovellusten suojautumisten kanssa. Tutkielmassa esiteltiin myös API-tietoturvakerrokseen liittyvä arkkitehtuuriehdotus, joka koostuu kolmesta eri API-tietoturvatasosta malliratkaisuineen.

API’s are used everywhere in our digital world. API’s are used in cloud services, internet of things, mobile apps, enterprise application integrations and so forth. API management and API security are topics which are popular in public discussions after successful exploitation of API vulnerabilities. Organizations have also realized challenges on how API’s can be managed throughout the whole lifecycle. Web service history and background was introduced and currently dominant architectural model, REST introduced. Challenges regarding API management were identified, also study describes how common API management software functionalities can resolve these API management challenges. API security has a lot of common with web applications vulnerabilities. In addition to technical point of view, there are a lot of other human vulnerabilities like false sense of security or negligence. Technical solutions for securing API’s are mostly similar what comes to web applications. Also architectural model for API security layer, with three different protection levels, was described in this study