無會話安全實踐促進了更好的雲可擴展性。
首先,像數據體或簡單對象訪問協議頭這樣的用戶名和密碼是不安全的。相反,開發人員應該使用無會話安全實踐,而不是HTTP身份驗證、基於密碼的身份驗證或Web服務安全。無會話安全性還能提高雲服務的可擴展性,因為任何服務器都可以處理用戶請求,不需要* * *在它們之間共享會話。
開發人員應該確定API是否已經執行了第二次安全檢查,例如用戶是否有適當的權限查看、編輯或刪除服務和數據。壹旦初始身份驗證明確,開發人員通常會忽略第二個安全策略。
雲提供商和開發人員應該針對常見威脅(如註入攻擊和跨站點偽造)測試雲API安全性。測試對於雲服務提供商創建的API尤為重要。但是,用戶應該獨立驗證雲API的安全性,因為它對於審計和合規性非常重要。
如果加密密鑰是API調用訪問和身份驗證方法的壹部分,那麽應該安全地存儲密鑰,並且不要將其編碼到文件或腳本中。
執行API變更報告
雖然安全性是構建和使用雲API的關鍵部分,但考慮變更日誌和報告的特征也很重要。該功能有助於跟蹤用戶訪問的雲資源以及數據和配置的變化。
軟件開發者引用壹個或多個雲API調用來改變由雲托管的數據,釋放新的計算資源,以及改變對雲實例的資源供應。每個這樣的活動都應該生成壹個日誌跟蹤,開發人員可以很容易地訪問它。全面的日誌對於審計、法律跟蹤和其他監管問題至關重要。