Apa itu keamanan API?
Jelajahi solusi keamanan API IBM Lihat cara IBM CIO mengurangi biaya API
Ilustrasi yang mewakili keamanan API

Diterbitkan: 20 November 2023
Kontributor: Crystal China, Michael Goodwin

Apa itu keamanan API?

Keamanan API mengacu pada praktik dan prosedur yang melindungi antarmuka pemrograman aplikasi (API) dari penyalahgunaan, serangan bot berbahaya, dan ancaman keamanan siber lainnya. API ini berfungsi sebagai bagian dari keamanan web tetapi dengan fokus khusus pada API, yang semakin penting untuk manajemen TI perusahaan.1

API telah menjadi blok bangunan transformasi digital, yang memungkinkan perusahaan menawarkan layanan kepada pengembang dan mitra eksternal. Karena API mengatur komunikasi dan pertukaran data antar aplikasi, API dapat memfasilitasi pengalaman pengguna yang lebih terhubung, memperluas jangkauan bisnis secara keseluruhan, dan mendorong inovasi teknologi yang melampaui batas. API juga merampingkan integrasi layanan sehingga bisnis dapat beradaptasi dengan cepat terhadap perubahan pasar dan permintaan pelanggan. 

Namun, seiring dengan berkembangnya API, begitu pula dengan masalah keamanan yang sering menyertainya.  

API berada di antara sumber daya TI organisasi dan pengembang perangkat lunak pihak ketiga atau antara sumber daya TI dan individu, yang memberikan data dan informasi pada titik akhir proses. Karena titik akhir terekspos ke dunia luar, mereka dapat menjadikan API sebagai target yang menguntungkan untuk berbagai jenis serangan.  

Evolusi keamanan API  

Evolusi manajemen API dan keamanan API secara intrinsik terkait dengan evolusi API itu sendiri. API awal terutama berfokus pada komunikasi antar-proses dalam satu sistem. Dengan demikian, keamanan (atau ketiadaan keamanan) tidak terlalu menjadi perhatian, karena komunikasi terbatas pada satu mesin. 

Namun, dengan munculnya Internet of Things (IoT) dan arsitekturlayanan mikro cloud native , API diperluas untuk memungkinkan komunikasi yang lancar dan perutean panggilan antar aplikasi dan di seluruh lingkunganDevOps. API modern dan berkualitas tinggi-misalnya, representational state transfer (REST), simple object access protocol (SOAP)-akan mengatur integrasi aplikasi, menentukan format data, dan menentukan jenis panggilan, prosedur, dan konvensi. 

API Web-GraphQL, REST API , dan SOAP API, secara khusus-mengubah lanskap dengan memperluas fitur-fitur untuk menyertakan kemampuan integrasi yang luas di berbagai jaringan yang kompleks. 

Namun karena teknologi canggih sangat bergantung pada titik akhir API untuk fungsionalitasnya, bisnis dan tim keamanan harus menerapkan langkah-langkah keamanan yang kuat untuk melindungi data dan layanan web, dan pada akhirnya mendapatkan hasil maksimal dari sumber daya TI. 

Kerentanan API

Jika tidak diamankan dengan benar, titik akhir API dapat memungkinkan aktor jahat mendapatkan akses tidak sah ke data sensitif, mengganggu operasi layanan, atau keduanya, dengan konsekuensi yang berpotensi menghancurkan. Ancaman yang umum meliputi:

  • Serangan berbasis autentikasi-di mana peretas mencoba menebak atau mencuri kata sandi pengguna atau mengeksploitasi mekanisme autentikasi yang lemah untuk mendapatkan akses ke server API.

  • Serangan man-in-the-middle-di mana aktor jahat mencuri atau memodifikasi data (misalnya, kredensial login atau informasi pembayaran) dengan mencegat permintaan atau respons API.

  • Serangan injeksi kode/suntikan-serangan injeksi-di mana peretas mengirimkan skrip berbahaya (untuk menyisipkan informasi palsu, menghapus atau mengungkapkan data, atau mengganggu fungsionalitas aplikasi) melalui permintaan API, dengan mengeksploitasi kelemahan pada penerjemah API yang membaca dan menerjemahkan data.

  • Kesalahan konfigurasi keamanan — di mana informasi pengguna yang sensitif atau detail sistem terekspos karena konfigurasi default yang tidak memadai, berbagi sumber daya lintas asal (CORS) yang terlalu permisif atau header HTTP yang salah.

  • Serangan Denial-of-service (DoS) -serangan inimengirimkan sejumlah permintaan API yang membuat server macet atau melambat. Serangan DoS sering kali datang dari beberapa penyerang secara bersamaan dalam apa yang disebut sebagai serangan denial-of-service terdistribusi (DDoS).

  • Serangan otorisasi tingkat objek yang rusak (Broken Object Level Authorization/BOLA)-terjadi ketika penjahat siber memanipulasi pengidentifikasi objek di titik akhir API untuk memperluas permukaan serangan dan mendapatkan akses tidak sah ke data pengguna. Serangan BOLA sangat umum terjadi, karena menerapkan pemeriksaan otorisasi tingkat objek yang tepat bisa jadi sulit dan memakan waktu.   

 

Praktik terbaik keamanan API  

Dalam ekonomi digital yang dinamis, API sangat penting untuk kelincahan bisnis, tetapi sifatnya yang terbuka dapat menimbulkan risiko keamanan data yang signifikan. Pelanggaran keamanan API telah menyebabkan kebocoran data besar-besaran, bahkan untuk perusahaan besar dan terkemuka seperti John Deere, Experian dan Peloton.2

Dan dalam lingkungan teknologi yang mengglobal, kerentanan keamanan mengancam semua penyedia layanan utama, apa pun industri atau lokasi geografisnya. Sebagai salah satu contoh, serangan API tahun 2022 terhadap perusahaan telekomunikasi Australia, Optus, mengekspos nama, nomor telepon, detail paspor, dan informasi SIM dari hampir 10 juta pelanggan.3

Insiden ini menggarisbawahi pentingnya perlindungan API dan telah mempercepat pengembangan strategi dan alat keamanan API yang komprehensif.

Menerapkan protokol keamanan API yang ketat melindungi data, aplikasi, dan layanan yang diekspos oleh titik akhir API, sekaligus memastikan ketersediaannya bagi pengguna yang sah. Keamanan API bukan hanya tentang melindungi titik akhir. Keamanan API ini juga memprioritaskan keamanan interaksi jaringan seperti transmisi data, permintaan pengguna, dan komunikasi antar-aplikasi di seluruh siklus API.

Beberapa solusi keamanan API yang paling umum untuk menopang infrastruktur TI meliputi:

Protokol otentikasi dan otorisasi

Otentikasi adalah proses verifikasi identitas pengguna, sistem, atau proses. Dalam konteks API, otentikasi ini mengacu pada penggunaan protokol autentikasi pengguna-seperti OAuth 2.0, kunci API, dan spesifikasi JWT-untuk memastikan bahwa pemohon adalah orang yang sesuai dengan yang diklaimnya. 

Otorisasi, di sisi lain, adalah proses memverifikasi apa yang dapat diakses oleh pengguna yang diautentikasi. Setelah pengguna diautentikasi, kontrol akses berbasis peran harus membatasi akses pengguna secara ketat ke sumber daya yang mereka butuhkan atau minta.

Enkripsi

Dengan enkripsi, teks biasa dan jenis data lainnya dikonversi dari bentuk yang dapat dibaca ke versi yang dikodekan yang hanya dapat diterjemahkan oleh entitas dengan kunci dekripsi. Dengan menggunakan teknologi enkripsi seperti transport layer security (TLS), koneksi SSL, dan protokol enkripsi TLS, tim dapat memastikan bahwa lalu lintas API tidak akan dicegat atau diubah oleh aktor jahat atau pengguna yang tidak sah. 

Validasi input

Protokol validasi input melindungi API dari data berbahaya, seperti serangan injeksi SQL dan skrip lintas situs, dengan memastikan input memenuhi kriteria tertentu (panjang, jenis, format, rentang, dll.) sebelum diproses. Memanfaatkan firewall aplikasi web (WAF) dan validasi skema XML atau JSON dapat membantu tim keamanan mengotomatiskan proses validasi, menganalisis permintaan yang masuk dan memblokir lalu lintas berbahaya sebelum mencapai server.  

Pembatasan laju

Pembatasan laju mengamankan sumber daya API dari serangan brute force dan DoS dengan membatasi jumlah panggilan yang dapat dilakukan pengguna atau alamat IP dalam jangka waktu tertentu. Batas kecepatan memastikan bahwa semua permintaan API diproses dengan segera, dan tidak ada pengguna yang dapat membanjiri sistem dengan permintaan yang berbahaya.  

Kuota dan throttling

Seperti pembatasan kecepatan, pelambatan membatasi jumlah panggilan API yang diterima sistem. Namun, alih-alih beroperasi pada tingkat pengguna/klien, throttling bekerja pada tingkat server/jaringan. Batas throttling dan kuota mengamankan bandwidth sistem backend API dengan membatasi API pada sejumlah panggilan, pesan, atau keduanya, per detik. 

Header keamanan

Header keamanan bisa sangat efektif untuk mencegah serangan clickjacking. Header "kebijakan-keamanan-konten", misalnya, memberi tahu browser sumber daya mana yang dapat diminta dari server. Header "x-content-type-option" menghentikan browser untuk mencoba mengendus jenis konten MIME, dan header "strict-transport-security" memberlakukan koneksi yang aman (HTTP melalui SSL/TLS) ke server. 

API gateway

Memasang gateway API adalah salah satu cara termudah untuk membatasi akses API dan menambahkan lapisan keamanan jaringan tambahan, terutama dalam kasus API terbuka. Gateway API bertindak sebagai satu titik masuk untuk semua permintaan API yang diterima sistem, menstandarkan interaksi API, dan menawarkan fitur keamanan seperti caching, analitik, komposisi API, pembatasan tarif, enkripsi, logging, dan kontrol akses.

Audit dan pencatatan

Menyimpan log audit yang komprehensif dan terbaru-dan sering meninjaunya-memungkinkan organisasi melacak akses dan penggunaan data, serta mencatat setiap permintaan API. Mengingat kompleksitas ekosistem API, mengikuti perkembangan aktivitas API bisa jadi cukup menyita waktu, tetapi prosedur audit dan pencatatan dapat menghemat waktu saat tim perlu menelusuri kembali langkah-langkah mereka setelah terjadi pelanggaran data atau penyimpangan kepatuhan. 

Penanganan kesalahan

Penanganan kesalahan secara proaktif di lingkungan API dapat mencegah penjahat siber mengungkapkan informasi sensitif tentang proses API. Idealnya, setiap kesalahan API akan mengembalikan kode status HTTP yang secara umum menunjukkan sifat kesalahan, memberikan konteks yang cukup bagi tim untuk memahami dan mengatasi masalah tanpa mengambil risiko eksposur data yang berlebihan. 

Pemantauan dan penambalan API

Seperti halnya aplikasi atau sistem perangkat lunak apa pun, pemantauan dan pemeliharaan real-time yang waspada sangat penting untuk menjaga keamanan API. Awasi aktivitas jaringan yang tidak biasa dan perbarui API dengan patch keamanan terbaru, perbaikan bug, dan fitur baru.

Organisasi juga harus mengadopsi standar keamanan yang tepat waktu seperti rekomendasi keamanan API dari Open Web Application Security Project (OWASP). Daftar 10 Besar Keamanan API OWASP, misalnya, menawarkan kerangka kerja untuk memahami dan memitigasi ancaman keamanan API yang paling kritis dan umum, seperti otentikasi yang rusak, penugasan massal, dan pemalsuan permintaan sisi server.

Pembuatan versi dan dokumentasi

Setiap versi baru perangkat lunak API dilengkapi dengan pembaruan keamanan dan perbaikan bug yang menopang celah keamanan di versi sebelumnya. Tetapi tanpa praktik pembuatan versi yang tepat, pengguna dapat secara tidak sengaja (atau sengaja) menerapkan versi API yang sudah ketinggalan zaman dan membahayakan data sensitif. Praktik pembuatan versi dan dokumentasi yang penuh perhatian memungkinkan perusahaan untuk mempercepat pengembangan API dan menghapus versi API yang lebih lama tanpa mengganggu layanan, mendorong pengguna ke iterasi yang lebih baru dan lebih aman.

Misalnya, jika tim menemukan kelemahan keamanan di v1 API, mereka dapat memperbaikinya di v2. Dan dengan penerapan versi, tim keamanan dapat mendorong pengguna untuk bermigrasi dari v1 ke v2 dengan kecepatan mereka sendiri, sambil memperjelas dalam dokumentasi versi bahwa v1 memiliki kerentanan keamanan yang diketahui. 

Pengujian keamanan

Pengujian keamanan mengharuskan pengembang untuk mengirimkan permintaan standar menggunakan klien API untuk menilai kualitas dan ketepatan respons sistem. Melakukan tes keamanan rutin untuk mengidentifikasi dan mengatasi celah keamanan membantu tim memperbaiki kerentanan API sebelum penyerang memiliki kesempatan untuk mengeksploitasinya. 

Solusi terkait
IBM API Connect®

IBM API Connect adalah solusi manajemen API siklus hidup penuh yang menggunakan pengalaman intuitif untuk membantu membuat, mengelola, mengamankan, menyosialisasikan, dan memonetisasi API secara konsisten, membantu mendukung transformasi digital on premises dan di seluruh cloud. 

Jelajahi API Connect

IBM API Connect - Contoh penggunaan keamanan API

IBM API Connect menawarkan berbagai kemampuan untuk mengamankan, mengontrol, dan memediasi akses ke API Anda. Mengontrol akses ke API melalui autentikasi dan otorisasi menggunakan OAuth, OpenID Connect, dan layanan pihak ketiga. Terapkan di mana saja, dari DMZ hingga berlokasi bersama dengan aplikasi cloud-native dan layanan mikro Anda, melindungi akses saat runtime, di mana saja.

Jelajahi kasus penggunaan keamanan API

Keamanan API Tingkat Lanjut Noname untuk IBM

Tingkatkan keamanan API di seluruh perusahaan Anda dengan kemampuan canggih yang didukung AI. IBM, pemimpin dalam manajemen API dan gateway aplikasi, bermitra dengan Noname Security, pemimpin dalam keamanan API, untuk memberikan kemampuan keamanan API yang canggih. Solusi gabungan ini akan membantu Anda mencapai tingkat kepercayaan keamanan yang baru.

Jelajahi Keamanan API Tingkat Lanjut Noname untuk IBM
Sumber daya Ringkasan satu halaman IBM API Connect

Maksimalkan nilai API untuk mendorong bisnis digital dengan solusi manajemen API yang komprehensif.

Tutorial IBM API Connect

Tutorial ini memberikan instruksi langsung yang membantu pengembang mempelajari cara menggunakan teknologi dalam proyek mereka.

Pusat komunitas integrasi IBM

Datang untuk mendapatkan jawaban. Tetap untuk praktik terbaik. Kami sangat menantikan kehadiran Anda.

Ambil langkah selanjutnya

IBM API Connect adalah solusi manajemen API siklus hidup penuh yang menggunakan pengalaman intuitif untuk membantu membuat, mengelola, mengamankan, menyosialisasikan, dan memonetisasi API secara konsisten, membantu mendukung transformasi digital on premises dan di seluruh cloud. Ini berarti Anda dan pelanggan Anda dapat mendukung aplikasi digital dan memacu inovasi secara real time. IBM API Connect juga tersedia dengan kemampuan lain sebagai bagian dari IBM Cloud Pak for Integration, yang dapat membantu Anda mengotomatiskan modernisasi aplikasi dan manajemen API sebagai bagian dari perjalanan Anda menuju cloud.

Jelajahi IBM API Connect
Catatan kaki

  Ringkasan Penelitian: Urgensi Mengatasi Keamanan API dalam Program Keamanan Aplikasi (tautan berada di luar ibm.com), Grup Strategi Perusahaan, 16 Oktober 2023.

2  Di Radar: Wib mengamankan API sepanjang siklus hidup penuhnya (tautan berada di luar ib m.com), Omdia, 1 September 2023.

3 Pelanggaran keamanan API besar berikutnya membayangi: inilah cara mempersiapkannya (tautan berada di luar ibm.com), SC Magazine, 19 Oktober 2023.