BLACKSHIELD

Guida pubblica

Rafforzamento della sicurezza API (OWASP API Top 10: 2023)

Verifica come BlackShield protegge API pubbliche e tenant dai rischi di autorizzazione, abuso e configurazione errata dell'OWASP API Top 10. Pubblico: Architetti sicurezza, revisori AppSec e stakeholder di conformità. Tempo medio di configurazione: 12-15 minuti.

trust

Use this if

Verifica come BlackShield protegge API pubbliche e tenant dai rischi di autorizzazione, abuso e configurazione errata dell'OWASP API Top 10.

Audience
Architetti sicurezza, revisori AppSec e stakeholder di conformità
Typical time
12-15 minuti

Prima di iniziare

  • Conferma che l'inventario API sia aggiornato e includa endpoint pubblici e tenant.
  • Assegna responsabili per controlli di autenticazione, autorizzazione e prevenzione abusi.
  • Raccogli evidenze recenti su rate limiting, RBAC e revisioni periodiche degli endpoint.

Guide walkthrough

Passo 1

Convalidare i limiti di autorizzazione

Conferma che ogni endpoint applichi autenticazione e controlli di ruolo espliciti, con limiti di accesso workspace nei filtri di query.

  • Verifica l'applicazione di RBAC per operazioni di lettura e scrittura.
  • Conferma che l'accesso ai dati tenant sia limitato al workspace attivo.
  • Rivedi i flussi solo amministratore e le protezioni per privilegi elevati.

What success looks like

Rivedi i flussi solo amministratore e le protezioni per privilegi elevati.

Passo 2

Convalidare le protezioni contro abusi

Verifica che i flussi sensibili includano limitazione richieste e che le operazioni ad alto costo non siano abusabili.

  • Rivedi limiti di frequenza su autenticazione e comportamento 429.
  • Rivedi limiti di frequenza su ciclo di vita tenant e gestione identità.
  • Rivedi controlli di equità per tenant durante picchi di ingestione.

What success looks like

Rivedi controlli di equità per tenant durante picchi di ingestione.

Passo 3

Convalidare inventario e controllo cambiamenti

Usa inventario API versionato e piano di deprecazione per mantenere i controlli allineati alla superficie endpoint attiva.

  • Rivedi voci inventario con modello auth e limiti di accesso.
  • Traccia le deprecazioni con date obiettivo concrete.
  • Ripeti questa revisione almeno una volta per trimestre.

What success looks like

Ripeti questa revisione almeno una volta per trimestre.

What success looks like

  • La proprietà dei controlli API e la cadenza di revisione sono documentate per classe endpoint critica.
  • I controlli di autorizzazione, rate limiting e inventario hanno evidenze aggiornate collegate ai revisori.
Rafforzamento della sicurezza API (OWASP API Top 10: 2023) | BlackShield Docs