BLACKSHIELD

Guide public

Renforcement de la sécurité des API (OWASP API Top 10 : 2023)

Examinez comment BlackShield protège les API publiques et locataires contre les risques d'autorisation, d'abus et de mauvaise configuration de l'OWASP API Top 10. Audience: Architectes sécurité, réviseurs AppSec et parties prenantes conformité. Temps moyen de mise en place: 12-15 minutes.

trust

Use this if

Examinez comment BlackShield protège les API publiques et locataires contre les risques d'autorisation, d'abus et de mauvaise configuration de l'OWASP API Top 10.

Audience
Architectes sécurité, réviseurs AppSec et parties prenantes conformité
Typical time
12-15 minutes

Avant de commencer

  • Vérifiez que votre inventaire API est à jour et couvre les endpoints publics et locataires.
  • Désignez les responsables des contrôles d'authentification, d'autorisation et d'anti-abus.
  • Rassemblez des preuves récentes sur la limitation de débit, RBAC et les revues d'endpoint.

Guide walkthrough

Étape 1

Valider les limites d'autorisation

Confirmez que chaque endpoint applique une authentification et des contrôles de rôle explicites, avec des limites d'accès workspace dans les filtres de requête.

  • Vérifiez l'application du RBAC en lecture et en écriture.
  • Confirmez que l'accès aux données locataire reste limité au workspace actif.
  • Examinez les flux administrateur uniquement et leurs protections de privilège élevé.

What success looks like

Examinez les flux administrateur uniquement et leurs protections de privilège élevé.

Étape 2

Valider les protections contre les abus

Vérifiez que les flux sensibles incluent une limitation des requêtes et que les opérations coûteuses ne peuvent pas être abusées.

  • Examinez les limites de débit sur l'authentification et le comportement 429.
  • Examinez les limites de débit sur le cycle de vie locataire et la gestion des identités.
  • Examinez les contrôles d'équité par locataire pour les charges d'ingestion élevées.

What success looks like

Examinez les contrôles d'équité par locataire pour les charges d'ingestion élevées.

Étape 3

Valider l'inventaire et la gestion des changements

Utilisez un inventaire API versionné et un plan de dépréciation pour maintenir les contrôles alignés sur la surface d'endpoint active.

  • Vérifiez les entrées d'inventaire avec modèle d'authentification et limites d'accès.
  • Suivez les dépréciations avec des dates cibles explicites.
  • Répétez cette revue au moins une fois par trimestre.

What success looks like

Répétez cette revue au moins une fois par trimestre.

What success looks like

  • La responsabilité des contrôles API et la cadence de revue sont documentées par classe d'endpoint critique.
  • Les contrôles d'autorisation, de limitation de débit et d'inventaire ont des preuves à jour liées aux réviseurs.
Renforcement de la sécurité des API (OWASP API Top 10 : 2023) | BlackShield Docs