BLACKSHIELD

Guia público

Endurecimento de Segurança de APIs (OWASP API Top 10: 2023)

Revise como a BlackShield protege APIs públicas e de tenants contra riscos de autorização, abuso e má configuração do OWASP API Top 10. Público: Arquitetos de segurança, revisores AppSec e partes interessadas de conformidade. Tempo típico de configuração: 12-15 minutos.

trust

Use isto se

Revise como a BlackShield protege APIs públicas e de tenants contra riscos de autorização, abuso e má configuração do OWASP API Top 10.

Audience
Arquitetos de segurança, revisores AppSec e partes interessadas de conformidade
Typical time
12-15 minutos

Antes de começar

  • Confirme que o inventário de APIs está atualizado e cobre endpoints públicos e de tenant.
  • Defina responsáveis por autenticação, autorização e controles antiabuso.
  • Recolha evidências recentes de rate limiting, RBAC e revisão de endpoints.

Guide walkthrough

Passo 1

Validar limites de autorização

Confirme que cada endpoint exige autenticação e verificações de função explícitas, com limites de acesso por workspace nos filtros de consulta.

  • Verifique a aplicação de RBAC em operações de leitura e escrita.
  • Confirme que o acesso a dados do tenant fica limitado ao workspace ativo.
  • Revise fluxos apenas de administrador e respetivas proteções de privilégio elevado.

Como é o sucesso

Revise fluxos apenas de administrador e respetivas proteções de privilégio elevado.

Passo 2

Validar proteções contra abuso

Verifique se fluxos sensíveis incluem limitação de pedidos e se operações de alto custo não podem ser abusadas.

  • Revise limites de taxa no endpoint de autenticação e comportamento 429.
  • Revise limites de taxa em ciclo de vida de tenant e gestão de identidade.
  • Revise controlos de justiça por tenant para cargas de ingestão intensas.

Como é o sucesso

Revise controlos de justiça por tenant para cargas de ingestão intensas.

Passo 3

Validar inventário e controlo de mudanças

Use inventário versionado de APIs e plano de descontinuação para manter controlos alinhados com o conjunto de endpoints ativo.

  • Revise entradas do inventário com modelo de autenticação e limites de acesso.
  • Registe descontinuações com datas-alvo concretas.
  • Repita esta revisão pelo menos uma vez por trimestre.

Como é o sucesso

Repita esta revisão pelo menos uma vez por trimestre.

Como é o sucesso

  • A propriedade dos controlos de API e a cadência de revisão estão documentadas por classe crítica de endpoint.
  • Controlos de autorização, rate limiting e inventário têm evidência atual associada aos revisores.
Endurecimento de Segurança de APIs (OWASP API Top 10: 2023) | Documentação BlackShield