雲API

雲API是指開發者可以使用雲套用編程接口編碼，而這個接口具備一項雲提供商的服務。但是同時對於雲套用也是危險的，因為API也具備受攻擊的一面，可能危害敏感業務數據。這意味著提供商和軟體開發者需要按優先次序確定雲API的安全。

雲端可擴展性

首先，像數據體內或者在簡單對象訪問協定頭的用戶名和密碼是不安全的。相反，開發者應該使用無會話安全實踐，別不HTTP認證，基於口令的認證或者Web服務安全。無會話安全也促進了更好地雲服務可擴展性，因為任何伺服器都可以處理用戶請求，而且無需在它們之間共享會話。

開發者應該確定是否一個API執行了第二次安全檢查，比如用戶是否有合適的授權去查看、編輯或者刪除服務和數據。一旦最初的認證是清晰的，開發者通常忽略了第二次的安全策略。

雲提供商和開發者應該針對常見威脅測試雲API安全，比如注入式攻擊和跨站偽造。對於雲服務提供商正在創建的API，測試尤為重要。然而，用戶應該獨立的核實雲API安全，因為其對於審計和法規遵從非常重要。

如果加密密鑰是API調用訪問和認證方法論的一部分，就要安全地存儲密鑰，而且永遠不要將其編碼到一個檔案或者腳本裡面。

執行API變更報告

雖然安全是雲API構造和使用的一個關鍵部分，但是對於考慮變更日誌和報告特性也很重要。這個特性可以幫助追蹤用戶訪問的雲資源以及數據和配置變更。

軟體開發者引用一個或者更多的雲API調用改變了雲託管的數據，發布了新的計算資源，並且變更了資源供應到一個雲實例。每一個這種活動都應該生成日誌追蹤，開發者可以方便地訪問。綜合日誌對於審計、法律追蹤和其他的法規 問題至關重要。