Il futuro del business inizia con gli sviluppatori

Scopri di più
Azienda Il team dietro esperienze online migliori Mappa di rete Una nuova architettura per l'Internet moderno Relazioni con gli analisti del settore Scopri cosa dicono gli analisti di settore su Fastly Notizie Aggiornamenti e annunci recenti Piattaforma La piattaforma per esperienze digitali migliori, più veloci e più sicure Storie dei nostri clienti Scopri come hanno avuto successo i migliori siti web Eventi Connettiti con Fastly durante un evento Lavora con noi Unisciti al team che sta costruendo un internet migliore

Piattaforma edge cloud di Fastly

Vedi tutti i prodotti
Distribuzione dei contenuti (CDN) Offri esperienze rapide e personalizzate a livello mondiale Streaming live Offri esperienze di live streaming senza interruzioni Streaming Video (VoD) Offri esperienze video on-demand eccezionali Media Shield Ottimizza le distribuzioni multi-CDN On-the-Fly Packager Crea pacchetti dinamici di contenuti video on demand in tempo reale Image Optimizer Elaborazione rapida delle immagini sull'edge Bilanciatore del carico Controllo granulare sulle decisioni di routing Crittografia TLS Riduci la complessità della gestione TLS Origin Connect Connettiti direttamente a Fastly Indirizzi IP Gestisci facilmente gli indirizzi IP HTTP/3 e QUIC Protocolli moderni API di ricerca dei domini Ricerca immediata e accurata dei nomi di dominio Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Modern web app and API security, anywhere Gestione dei bot Rilevare e mitigare gli attacchi dei bot Protezione DDoS Mitigazione automatizzata degli attacchi dirompenti e distribuiti Sicurezza delle API Proteggi i tuoi endpoint API Protezione lato client Difesa dagli attacchi lato client Gestione dei bot IA Impedisci ai bot IA di estrarre i contenuti dei siti web
Edge Compute Porta le tue app a livello edge: la nostra piattaforma istantanea ti aiuta a creare esperienze straordinarie per i tuoi utenti Key Value Store Il Key Value Store più veloce che puoi ottenere, con la stessa facilità di utilizzo degli strumenti di database che conosci bene WebSockets e Fanout Messaggistica in tempo reale distribuita su scala globale, con personalizzazione completa e configurazione semplice. Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Enterprise Serverless La piattaforma serverless più potente, basata su standard aperti e integrata con la suite completa di prodotti Fastly IA Accelera i tuoi carichi di lavoro di IA e migliora l'efficienza con la cache semantica Object Storage Get direct access to large files at the edge with zero egress fees Cache programmabile Ottieni l'accesso programmabile completo alla stessa leggendaria cache che alimenta la nostra CDN. Server MCP Controllo potenziato dall'IA per i tuoi servizi Fastly.
Logging in tempo reale Trasmetti e analizza i log in tempo reale Edge Observer Esplora i dati sul traffico in tempo reale e storici Domain Inspector Valuta le informazioni a livello di dominio Origin Inspector Visualizza informazioni complete dall'origine all'edge Avvisi Crea notifiche per le metriche relative al servizio Log Explorer & Insights Interagisci con informazioni utili

Servizi straordinari per risultati eccezionali

Vedi tutti i servizi
Servizi professionali Assistenza specializzata per migrare o ottimizzare il tuo servizio di distribuzione Servizi di intrattenimento dal vivo Esperienze di live streaming con scalabilità per il tuo pubblico Piani di supporto Assistenza di prima classe dall'inizio alla fine Managed CDN Controllo e flessibilità ottimizzati Managed Security Protezione delle applicazioni web gestita con competenza Assistenza clienti Il supporto di Fastly ti aiuta a crescere meglio, insieme

Soluzioni digitali innovative

Scopri tutte le nostre soluzioni
Streaming media Offri live streaming e on-demand eccezionale Media emergenti Prestazioni elevate per i brand multimediali emergenti Editoria digitale Giornalismo in tempo reale con esperienze di lettura migliorate e-commerce Esperienze rapide e personalizzate su larga scala Servizi finanziari Sicurezza integrata per proteggere i dati dei clienti High tech Scala istantaneamente le tue prestazioni man mano che cresci Viaggi e ospitalità Esperienze online personalizzate per i tuoi ospiti e visitatori Istruzione online Offri esperienze di apprendimento sicure su larga scala Gaming Sostieni la prossima vittoria dei tuoi player con download di giochi ultra veloci e sicuri iGaming Offri un'esperienza di gioco veloce, sicura, senza interruzioni e coinvolgente a livello di edge
Risparmi sulle infrastrutture Ottieni una spesa cloud inferiore e più prevedibile Ottimizzazione multi-cloud Riduci la complessità e unifica le risorse cloud Fiducia dei clienti Scopri di più sulle iniziative di Fastly per la fiducia dei clienti Abilitazione della privacy Scopri come proteggere i dati dei tuoi utenti Dashboard di sostenibilità Consulta il tuo consumo di elettricità e le emissioni di gas serra per la piattaforma Fastly

Consentiamo a ogni sviluppatore di costruire esperienze incredibili

Prova Fastly gratis
Sviluppatori Costruisci qualcosa di straordinario oggi Fast Forward Creare un Internet più affidabile Strumenti di sviluppo Strumenti di sviluppo pensati per i team - con un edge in più Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Comunità Unisciti agli sviluppatori di tutto il mondo Registrati Crea un account sviluppatore gratuito

Contribuisci a creare una rete Internet veloce, sicura e coinvolgente con Fastly

Perché collaborare con Fastly Aiutaci a offrire esperienze sicure, veloci e coinvolgenti Cloud Partner Scopri i vantaggi di combinare Fastly con i tuoi servizi cloud Channel Partner Migliora le tue offerte e capacità con i prodotti Fastly Partner tecnologici e di integrazione Esplora il nostro ecosistema di partner
Accesso al portale partner Accedi a tutte le tue risorse partner di Fastly Diventa un partner Migliora la tua attività rivendendo o consigliando i prodotti Fastly Trova un partner Lascia che ti aiutiamo a trovare il partner giusto per le tue esigenze

Chiedi aiuto con Fastly

Documentazione Ottieni il massimo da Fastly Libreria delle risorse Esplora schede dati, report e altro ancora Fastly Academy Apprendimento pratico con i prodotti Fastly Centro di apprendimento Scopri la tecnologia Internet Blog I nostri ultimi pensieri e idee Ricerca sulla sicurezza Maggiore sicurezza grazie alla ricerca Il punto di vista di Fastly Esplora approfondimenti di esperti e del settore
Centro di Supporto Come possiamo aiutarti? Contattaci Contattaci oggi
Ritorno al centro di formazione

Cos'è la protezione API?

Per protezione API si intendono le attività, gli strumenti e le pratiche coinvolte nella messa in sicurezza delle interfacce di programmazione delle applicazioni (API). L'obiettivo della protezione API è proteggere le API da attacchi informatici, breach e qualsiasi uso non autorizzato o indesiderato. 

Poiché le API sono così comuni e consentono l'accesso a funzioni e dati software sensibili, stanno diventando un bersaglio sempre più desiderato dagli hacker. Questo rende la protezione API una componente fondamentale della moderna sicurezza delle applicazioni web. 

La sicurezza delle API è essenziale per proteggere i dati sensibili, come informazioni finanziarie o dati personali, e per prevenire attacchi che potrebbero compromettere l'integrità dell'API e dei sistemi a cui si connette. 

Perché la protezione API è importante?

Le API consentono alle aziende di integrare diversi sistemi e tecnologie: sono un modo per far “comunicare” rapidamente diverse applicazioni. Le API spesso gestiscono token di autenticazione, dati personali, informazioni di pagamento e una serie di altre attività altamente sensibili. Questo le rende un obiettivo interessante per i malintenzionati. 

Poiché le API sono altamente automatizzate e prevedibili, ciò le rende un bersaglio più facile da studiare e da sfruttare per gli hacker. È noto che gli hacker sfruttano le vulnerabilità delle API per accedere a dati sensibili o iniettare codice dannoso nelle applicazioni, causando violazioni dei dati, arresti anomali del sistema e altre gravi conseguenze. 

Per questi motivi, è importante dare priorità agli strumenti e alle strategie di protezione API. Senza protezioni adeguate, le API possono rappresentare un grave rischio per l'azienda, il suo IP, il suo marchio e la sua reputazione.

Quali sono gli impatti del mancato utilizzo della protezione API?

La mancata implementazione di strumenti e pratiche robuste di protezione delle API può comportare diversi impatti negativi per la tua azienda: 

  1. Violazioni dei dati e violazioni normative

  2. Acquisizione dell'account e abuso di credenziali

  3. Accesso non autorizzato a risorse sensibili

  4. Abuso della logica aziendale

  5. Degrado del servizio causato da abusi automatizzati.

  6. Impatto sulla reputazione del marchio e sui ricavi derivanti da attacchi riusciti

Da quali rischi può difenderti la protezione delle API? 

La OWASP Top 10 elenca i principali rischi per la sicurezza delle API e viene aggiornata ogni pochi anni. Questo è un ottimo punto di partenza a cui fare riferimento e assicurarsi che le API siano protette. 

Dall’elenco, OWASP identifica le seguenti principali criticità per le API:

  • Autorizzazione a livello oggetto compromessa: OWASP afferma: “Le API tendono a esporre endpoint che gestiscono identificatori di oggetti, creando una vasta superficie di attacco di problemi di controllo di accesso a livello di oggetto. I controlli di autorizzazione a livello di oggetto dovrebbero essere considerati in ogni funzione che accede a una fonte di dati utilizzando un ID dell'utente.” 

  • Autenticazione non funzionante: OWASP afferma: ”I meccanismi di autenticazione sono spesso implementati in modo errato, consentendo agli hacker di compromettere i token di autenticazione o di sfruttare vulnerabilità di implementazione per assumere temporaneamente o permanentemente l’identità di altri utenti. Compromettere la capacità di un sistema di identificare il client/utente, compromette la sicurezza delle API in generale.”

  • Autorizzazione al livello di proprietà dell'oggetto difettoso: OWASP afferma: “Focalizzandosi sulla causa principale dei problemi di autorizzazione: l’assenza o l’errata validazione dell’autorizzazione a livello di proprietà dell’oggetto. Ciò porta all'esposizione o alla manipolazione delle informazioni da parte di soggetti non autorizzati.”

  • Consumo illimitato di risorse: OWASP afferma: “Per soddisfare le richieste API sono necessarie risorse come larghezza di banda di rete, CPU, memoria e storage. Altre risorse come e-mail/SMS/telefonate o validazione biometrica vengono rese disponibili dai fornitori di servizi tramite integrazioni API e pagate per richiesta. Gli attacchi riusciti possono portare a Denial of Service o a un aumento dei costi operativi.“

  • Autorizzazione a livello di funzione compromessa: OWASP afferma: ”Policy complesse di controllo degli accessi con gerarchie, gruppi e ruoli diversi, e una separazione poco chiara tra funzioni amministrative e normali, tendono a generare difetti di autorizzazione. Sfruttandoli, gli hacker possono accedere alle risorse e/o alle funzioni amministrative di altri utenti.”

  • Accesso illimitato ai flussi aziendali sensibili: OWASP afferma: ”Le API vulnerabili a questo rischio espongono un flusso aziendale, come l'acquisto di un biglietto o la pubblicazione di un commento, senza tenere conto di come tale funzionalità potrebbe danneggiare l’azienda se utilizzata in modo eccessivo tramite automazione. Questo non deriva necessariamente da bug di implementazione.”

  • Server-Side Request Forgery: OWASP afferma: “Le vulnerabilità di tipo “Server-Side Request Forgery (SSRF)” possono verificarsi quando un’API recupera una risorsa remota senza validare l’URI fornito dall’utente. In questo modo un hacker può costringere l'applicazione a inviare una richiesta appositamente costruita a una destinazione imprevista, anche se protetta da un firewall o da una VPN.“

  • Security Misconfiguration: OWASP afferma: “Le API e i sistemi che le supportano tipicamente contengono configurazioni complesse, pensate per rendere le API più personalizzabili. Gli ingegneri software e DevOps possono trascurare queste configurazioni, o non seguire le migliori pratiche di sicurezza per la configurazione, aprendo la porta a diversi tipi di attacchi.”

  • Gestione impropria dell'inventario: OWASP afferma: ”Le API tendono a esporre più endpoint rispetto alle applicazioni web tradizionali, rendendo una documentazione adeguata e aggiornata estremamente importante. Un inventario adeguato degli host e delle versioni API distribuite è inoltre importante per mitigare problemi come versioni API obsolete ed endpoint di debug esposti.”

  • Consumo non sicuro delle API: OWASP afferma: “Gli sviluppatori tendono a fidarsi più dei dati ricevuti dalle API di terze parti che dell’input degli utenti, e quindi tendono ad adottare standard di sicurezza più deboli. Per compromettere le API, gli hacker vanno a colpire i servizi integrati di terze parti invece di cercare di compromettere direttamente l’API di destinazione.“

Oltre a questo elenco, occorre sempre considerare anche: 

  • API shadow: sono API che non sono sufficientemente sicure ma comunque utilizzate all'interno di un'azienda. Questo accade solitamente quando le API vengono utilizzate o create in una parte dell’azienda senza che il team di sicurezza ne sia a conoscenza e, di conseguenza, non è in grado di proteggerle adeguatamente. 

  • Attacchi di injection: quando le API accettano input senza una corretta validazione. Questo permette agli hacker di inserire richieste malevole in un'applicazione e causare danni. 

Quali sono le migliori pratiche per la protezione delle API?

Oltre a investire in strumenti per la sicurezza delle API, ci sono diverse best practice che puoi seguire per mantenere le tue API al sicuro. 

Progettazione e sviluppo

  • Segui standard sicuri di progettazione API (privilegio minimo, validazione degli schemi)

  • Definisci in anticipo i requisiti di autenticazione, autorizzazione e limitazione della velocità

  • Documenta chiaramente gli endpoint e il comportamento atteso

Test di autenticazione e autorizzazione

  • Controlla la validità dei token, le procedure di revoca e la difesa contro i replay

  • Verifica i controlli di accesso basati su ruoli e ambiti

  • Effettua tentativi di accesso non autorizzato a risorse protette

Validazione degli input e dello schema

  • Testa richieste non corrette, payload eccessivi e tipi di dati imprevisti

  • Verifica il rispetto rigoroso dello schema

  • Esegui test per individuare vulnerabilità di injection

Test API

  • Simula credential stuffing, enumerazione e scraping

  • Verifica i limiti di richieste e il comportamento del throttling

  • Convalida l'efficacia del rilevamento di bot e anomalie

Test della logica aziendale

  • Tenta di manipolare il flusso di lavoro per rilevare eventuali punti deboli

  • Testa casi limite e ordini imprevisti delle operazioni

Crittografia pratica

  • Dovresti sempre assicurarti che i dati che viaggiano tramite API siano criptati.

Chi ha bisogno di protezione API? 

In breve, chiunque o qualsiasi azienda che utilizzi le API come parte del proprio ecosistema aziendale deve assicurarsi di predisporre strategie e strumenti di protezione delle API. 

Tuttavia, maggiore è la sensibilità dei dati gestiti dalle API, maggiore è la necessità di una solida protezione API. I soggetti particolarmente bisognosi di protezione API sono: 

  • Settore dei servizi finanziari: questo è ovvio. Gli istituti finanziari e le aziende fintech necessitano della protezione API sia dal punto di vista dei requisiti di conformità (si pensi al Payment Card Industry Data Security Standard) che dal punto di vista della fiducia e della sicurezza. Toccano dati estremamente sensibili e richiedono soluzioni per la sicurezza che riflettano questo aspetto. 

  • Settore sanitario: come i dati finanziari, anche i dati sanitari sono altrettanto sensibili. Regolamenti come l'HIPAA richiedono pratiche di sicurezza rigorose, così come richiedono i clienti. 

  • Settore retail ed e-commerce: le API sono fondamentali per queste aziende, essendo utili per l'inventario, la funzionalità di “check-out“ del sito web e la spedizione. Carenze in questo ambito comportano la perdita di fiducia da parte delle aziende e la conseguente perdita di ricavi. 

In che modo Fastly può aiutarti

La verifica della sicurezza delle API va mantenuta costantemente. Combinando progettazione sicura, test automatizzati continui, convalida manuale, test di abuso basati sui bot e protezione basata sull'edge, le aziende possono ridurre significativamente il rischio di sfruttamento delle API mantenendo prestazioni e scalabilità.

Fastly API Securityti offre un quadro completo del panorama delle API. Puoi comprendere cosa esiste, acquisire fiducia nel fatto che tutto funzioni come previsto e prendere decisioni mirate per la mitigazione degli abusi delle API sulla piattaforma Fastly.

La piattaforma edge cloud di Fastly ispeziona e filtra le richieste API nelle sue posizioni edge distribuite globalmente. Ciò significa che il traffico dannoso o abusivo, come attacchi guidati da bot, credential stuffing o scraping delle API, può essere bloccato o limitato prima che raggiunga i server della tua applicazione. Interrompere tempestivamente le minacce riduce il carico sul backend, diminuisce la latenza e limita il raggio d'azione durante gli attacchi.

Pronto per iniziare?

Contattaci oggi
Parla con un esperto