Esistono linee guida generali (o, meglio ancora, standard di conformità) per la valutazione dei rischi di un'API basata su cloud?

Naviga le tue risposte
0

Sto studiando per l'esame CCSP e una parte del materiale didattico è fuoriuscito.

It behooves the cloud customer to formalize a policy and process for vetting, selecting, and deploying only those APIs that can be validated in some fashion -- a method for determining the trustworthiness of the source and the software itself. This process should be included in the organization's acquisition and development program, as well as the change management effort.

OK, questo ha un senso ... sorta. Il materiale di formazione non è stato dettagliato e si è fermato lì. Mi sembra però che questo processo sia soggettivo e che un cliente cloud possa considerare un'API totalmente sicura mentre un altro cliente cloud potrebbe considerare un'API terribile.

Quindi le mie domande sono:

  • Esistono standard di settore e documentati largamente accettati o enti governativi che dettano i requisiti per API basate su cloud a basso rischio e valide?

  • In assenza di ciò, esistono almeno linee guida generali su ciò che i clienti cloud dovrebbero cercare in un'API? Ad esempio, penso che questo è qualcosa che OWASP avrebbe ma non ho visto questo sul loro sito web.

posta Mike B 17.04.2018 - 16:40
fonte

1 risposta

1

Non sono a conoscenza di alcun standard che si applichi specificamente a un'API. Penso che la valutazione della sua validità debba essere guidata dallo scopo dell'API. Se l'API viene utilizzata per raccogliere dati locali di data, ora, meteo, ecc. Richiederà controlli di sicurezza molto diversi da quelli che recuperano le transazioni con carta di credito o condividono le informazioni protette della tua azienda (per qualsiasi valore di "protetto" definito dalla tua azienda ).

In ogni caso, non c'è molta magia per un'API: è essenzialmente una connessione programmatica esterna a un altro servizio. Il tuo modo di valutare o proteggere sarà simile al modo in cui lo faresti con la tua aggiunta di codice, libreria o funzionalità che prevede lo scambio di dati con una terza parte.

    
risposta data 17.04.2018 - 16:56
fonte

Leggi altre domande sui tag

Crittografa programmaticamente i dati su Windows utilizzando il login Utilizzo di OWASP Top 10 per l'assegnazione della gravità della vulnerabilità in una valutazione di sicurezza