BLACKSHIELD

Guia público

Fortalecimento de Segurança de APIs (OWASP API Top 10: 2023)

Revise como a BlackShield protege APIs públicas e de tenants contra riscos de autorização, abuso e configuração incorreta do OWASP API Top 10. Público: Arquitetos de segurança, revisores de AppSec e partes interessadas de compliance. Tempo típico de configuração: 12-15 minutos.

trust

Use isto se

Revise como a BlackShield protege APIs públicas e de tenants contra riscos de autorização, abuso e configuração incorreta do OWASP API Top 10.

Audience
Arquitetos de segurança, revisores de AppSec e partes interessadas de compliance
Typical time
12-15 minutos

Antes de começar

  • Confirme que o inventário de APIs está atualizado e cobre endpoints públicos e de tenant.
  • Defina responsáveis por autenticação, autorização e controles de prevenção de abuso.
  • Reúna evidências recentes de rate limiting, RBAC e revisões periódicas de endpoints.

Guide walkthrough

Passo 1

Validar limites de autorização

Confirme que cada endpoint exige autenticação e checagens explícitas de papel, com limites de acesso por workspace aplicados nos filtros de consulta.

  • Verifique a aplicação de RBAC em operações de leitura e escrita.
  • Confirme que o acesso a dados do tenant fica restrito ao workspace ativo.
  • Revise fluxos exclusivos de administrador e proteções para privilégios elevados.

Como é o sucesso

Revise fluxos exclusivos de administrador e proteções para privilégios elevados.

Passo 2

Validar proteções contra abuso

Verifique se fluxos sensíveis incluem limitação de requisições e se operações de alto custo não podem ser abusadas.

  • Revise limites de taxa em autenticação e comportamento 429.
  • Revise limites de taxa em ciclo de vida de tenant e gestão de identidade.
  • Revise controles de equidade por tenant para picos de ingestão.

Como é o sucesso

Revise controles de equidade por tenant para picos de ingestão.

Passo 3

Validar inventário e controle de mudanças

Use inventário versionado de APIs e plano de descontinuação para manter controles alinhados com os endpoints ativos.

  • Revise entradas do inventário com modelo de autenticação e limites de acesso.
  • Registre descontinuações com datas-alvo concretas.
  • Repita esta revisão pelo menos uma vez por trimestre.

Como é o sucesso

Repita esta revisão pelo menos uma vez por trimestre.

Como é o sucesso

  • A propriedade dos controles de API e a cadência de revisão estão documentadas por classe crítica de endpoint.
  • Controles de autorização, rate limiting e inventário têm evidências atuais vinculadas aos revisores.
Fortalecimento de Segurança de APIs (OWASP API Top 10: 2023) | Documentação BlackShield