Białe listy adresów IP dla kluczy API
Ptak
19 sie 2015
1 min read
Najważniejsze informacje
Klucze API to potężne poświadczenia - jeśli zostaną skompromitowane, napastnicy mogą wysyłać e-maile, kraść dane lub podszywać się pod Twoją markę.
Wykonanie ataku siłowego na 40-znakowy klucz szesnastkowy jest zasadniczo niemożliwe; prawdziwe zagrożenia pochodzą z ekspozycji (ataków MITM, niezabezpieczonych repozytoriów kodu, wyciekających poświadczeń).
Zawsze używaj HTTPS i weryfikuj certyfikaty SSL, aby zapobiec przechwytywaniu Twoich kluczy API.
Whitelistowanie adresów IP dodaje krytyczną warstwę ochrony, ograniczając użycie klucza do konkretnych adresów IP lub zakresów adresów IP.
Nawet jeśli napastnik ukradnie Twój klucz API, nie będzie mógł z niego korzystać, chyba że łączy się z zatwierdzonego adresu IP.
Wsparcie CIDR ułatwia autoryzację całych sieci bez wymieniania każdego serwera.
Unikaj osadzania kluczy API w kodzie - zamiast tego używaj zmiennych środowiskowych lub bezpiecznych rozwiązań do zarządzania sekretami.
Twórz wiele kluczy API o wąskim zakresie, a nie jeden „wszystko-da-jedn” klucz - każdy z ograniczonymi uprawnieniami i własną białą listą.
Dla integracji zewnętrznych, twórz dedykowane klucze z ograniczonymi przywilejami i ograniczonymi adresami IP.
Włącz 2FA na swoim koncie, ponieważ klucze API można tworzyć tylko przez interfejs użytkownika.
Regularnie przeglądaj, rotuj i wygaszaj klucze, aby utrzymać silne bezpieczeństwo operacyjne.
Podsumowanie pytań i odpowiedzi
Czym jest whitelistowanie adresów IP?
To jest funkcja zabezpieczająca, która ogranicza użycie klucza API do określonych adresów IP lub zakresów adresów IP.
Dlaczego SparkPost/Bird używa kluczy API do uwierzytelniania?
Klucze API są proste, szeroko stosowane i działają płynnie z API REST i SMTP.
Co się stanie, jeśli ktoś ukradnie mój klucz API?
Mogli wysyłać maile w Twoim imieniu, pobierać listy odbiorców, modyfikować szablony lub wysyłać phishing/spam, który szkodzi Twojej marce.
Czy klucze API mogą być łamane przez brute force?
Praktycznie niemożliwe. 40-znakowy ciąg szesnastkowy ma ~1.46e48 kombinacji — łamanie go metodą brute-force zajęłoby więcej czasu niż wiek wszechświata.
Jak zatem atakujący zwykle zdobywają klucze API?
Ataki typu man-in-the-middle (jeśli SSL nie jest weryfikowane), ujawnione klucze w publicznych repozytoriach GitHub lub logi przypadkowo ujawniające klucze.
Jak pomaga biała lista adresów IP?
Nawet jeśli napastnik ukradnie twój klucz, nie będzie działał, chyba że łączy się z zatwierdzonego adresu IP.
Czy mogę dodać całe sieci do białej listy?
Tak, za pomocą notacji CIDR - idealne dla serwerów z równoważeniem obciążenia, VPN-ów lub statycznych zakresów biurowych.
Czy dodanie do białej listy dotyczy zarówno REST, jak i SMTP?
Tak, adres IP nadchodzącego żądania musi odpowiadać twojej liście dozwolonych.
Ile adresów IP lub zakresów mogę dodać do listy dozwolonej?
Ile tylko potrzebujesz — wiele indywidualnych adresów IP lub bloków.
Czy powinienem używać jednego klucza API do wszystkiego?
Nie. Utwórz oddzielne klucze dla różnych systemów, zespołów lub dostawców. Poprawia to bezpieczeństwo i ułatwia rotację lub unieważnienie kluczy.
Gdzie powinienem przechowywać klucze API?
Używaj zmiennych środowiskowych — nigdy nie wprowadzaj jawnie kluczy do plików źródłowych lub publicznych repozytoriów.
Jakie dodatkowe najlepsze praktyki w zakresie bezpieczeństwa?
Zawsze włączaj 2FA na swoim koncie SparkPost/Bird i twórz dedykowane klucze dla podmiotów trzecich z minimalnymi uprawnieniami i własnymi listami dozwolonymi.
