無會話安全實踐促進更好的雲端可擴展性
首先,像數據體內或者在簡單對象訪問協議頭的用戶名和密碼是不安全的。相反,開發者應該使用無會話安全實踐,別不HTTP認證,基於口令的認證或者Web 服務安全。無會話安全也促進了更好地雲服務可擴展性,因為任何服務器都可以處理用戶請求,而且無需在它們之間***享會話。
開發者應該確定是否壹個API執行了第二次安全檢查,比如用戶是否有合適的授權去查看、編輯或者刪除服務和數據。壹旦最初的認證是清晰的,開發者通常忽略了第二次的安全策略。
雲提供商和開發者應該針對常見威脅測試雲API安全,比如註入式攻擊和跨站偽造。對於雲服務提供商正在創建的API,測試尤為重要。然而,用戶應該獨立的核實雲API安全,因為其對於審計和法規遵從非常重要。
如果加密密鑰是API調用訪問和認證方法論的壹部分,就要安全地存儲密鑰,而且永遠不要將其編碼到壹個文件或者腳本裏面。
執行API變更報告
雖然安全是雲API構造和使用的壹個關鍵部分,但是對於考慮變更日誌和報告特性也很重要。這個特性可以幫助追蹤用戶訪問的雲資源以及數據和配置變更。
軟件開發者引用壹個或者更多的雲API調用改變了雲托管的數據,發布了新的計算資源,並且變更了資源供應到壹個雲實例。每壹個這種活動都應該生成日誌追蹤,開發者可以方便地訪問。綜合日誌對於審計、法律追蹤和其他的法規 問題至關重要。