Bewältigung der Herausforderungen der Application im Zeitalter der zunehmenden Verbreitung von Multi-Cloud-APIs

Um App-Entwicklern und Sicherheitsteams dabei zu helfen, ihre Kräfte zu bündeln und API-Sicherheitsherausforderungen erfolgreich zu bewältigen, haben sich Google Cloud und F5 zu einem speziellen Webinar-Event mit dem Titel „Untangling APIs“ zusammengeschlossen: Bekämpfen Sie die Ausbreitung und sichern Sie Ihr digitales Ökosystem . Das Gespräch brachte mehrere relevante und umsetzbare Antworten auf die wichtigen Fragen zutage, die Unternehmen zum Thema API-Ausbreitung, -Verwaltung und -Sicherheit haben – oder haben sollten.

Wenn Sie nicht an der Live-Sitzung teilnehmen konnten, machen Sie sich keine Sorgen; Sie können in diesem Blog-Beitrag einige der Highlights miterleben und auch auf die Aufzeichnung auf Abruf zugreifen.

An der Veranstaltung, die von Jess Steinbach von ActualTech Media moderiert wurde, nahmen außerdem die renommierten Referenten Joshua Haslett , Strategic Technology Partner Manager bei Google Cloud, Ian Dinno , Senior Product Marketing Manager bei F5, und David Remington , Director of Product Management bei F5, teil. Gemeinsam übernahmen sie die führende Rolle in Sachen API-Sicherheit und gaben den Teilnehmern fachkundigen Rat und praktische Anleitungen für die Einführung einer ganzheitlicheren App- und API- Sicherheitsstrategie im gesamten Unternehmen.

Einer der Hauptpunkte der Diskussion drehte sich um die Suche nach dem richtigen Weg zu einem ganzheitlichen Ansatz. Dieser Aspekt ist noch schwieriger geworden, da die Anzahl der im gesamten Application eines Unternehmens verwendeten APIs weiterhin mit beispielloser Geschwindigkeit wächst. Wie eine der Fragen eines Teilnehmers verdeutlichte, werden die durch die API-Ausbreitung entstandenen Herausforderungen hinsichtlich Sicherheit, Governance und Effizienz durch die zunehmende Nutzung hybride Cloud Infrastrukturen und der Vielzahl von Microservices, die komplexe Multi-App-Geschäftsprozesse ermöglichen, noch verschärft.

Um den mit der Ausbreitung von APIs verbundenen Risiken – wie etwa Datendiebstahl, Kontoübernahme und Betrug – zu begegnen, muss das Application eines Unternehmens API-Schutztechnologien umfassen, die kontinuierliche Erkennung und Überwachung, Laufzeitschutz und Statusverwaltung in Echtzeit bieten. Das Programm muss außerdem durch einen Prozess unterstützt werden, der die CI/CD-Pipeline in Bewegung hält, indem Sicherheitsmethoden und Codetests früher im Softwareentwicklungszyklus problemlos integriert werden, und zwar auf eine Weise, die Releases nicht verzögert, die Benutzererfahrung nicht negativ beeinflusst oder zu Application führt.

Wenn Sie meinen, dass Ihr Team sich ein gutes Bild davon gemacht hat, welche APIs wo ausgeführt werden, wird höchstwahrscheinlich eine neue App oder ein neuer API-Endpunkt hinzugefügt oder ein bestehender aktualisiert. Dabei kann es sich um einen neuen Drittanbieterdienst oder um mehrere neue oder aktualisierte APIs handeln, die für die für die Sicherheit verantwortlichen Teams möglicherweise nicht sichtbar sind und die für ein Unternehmen neue anfällige Einstiegspunkte und Gefährdungen bedeuten. Es ist ein nie endender Kampf, dieser Ausbreitung Herr zu werden, was es für Sicherheitsteams noch schwieriger macht, diese Dienste einzeln und als Teil einer voll funktionsfähigen Application zu bewerten und zu schützen.

In Bezug auf die zunehmenden Bedrohungsrisiken im Zusammenhang mit der zunehmenden Komplexität der Anwendungsinfrastruktur vertraten Ian und David eine klare Position dazu, dass KI und maschinelles Lernen sowohl hinsichtlich des Umfangs und Ausmaßes der Angriffe als auch hinsichtlich des erforderlichen Schutzes eine bedeutende Rolle bei der API-Sicherheit spielen werden.

Ein weiterer kritischer Faktor, den das Gremium während des Webinars diskutierte, ist die Notwendigkeit, Einblick in den Status der API-Sicherheit zu erhalten. So beschrieb beispielsweise ein Teilnehmer dem Gremium, dass es bei einigen seiner Systeme und Applications seit Kurzem zu Leistungsproblemen und anderen Störungen gekommen sei. Sie konnten jedoch nicht ohne weiteres feststellen, ob es Anzeichen dafür gab, dass die Ausbreitung der APIs durch aktive Angriffe ausgenutzt wurde. Dies scheint ein häufiges Problem zu sein, mit dem viele Teams zu kämpfen haben.