Las puertas de enlace de las API son los nuevos puntos de control estratégicos (pero todavía carecen de seguridad)

La transformación de aplicaciones monolíticas en ecosistemas de microservicios ha convertido a las API en un punto de control estratégico fundamental. Mientras que los firewalls de aplicaciones web (WAF) han sido una herramienta fundamental para proteger las aplicaciones basadas en HTTP, las API han carecido de controles equivalentes para un cumplimiento, seguridad y auditoría adecuados. A medida que el tráfico de la API y el tráfico no humano superan el tráfico de las aplicaciones web, los controles de seguridad también deben avanzar. Los responsables de la seguridad deberían aprovechar las nuevas tendencias como una oportunidad para aprender más sobre la protección de las API y como medio para impulsar las mejoras de seguridad de las API dentro de su propia organización.

La explosión de las API es generalizada – la proliferación de API continuará. 13 Además, es posible que no sea solo el equipo de DevOps el que esté impulsando las API.Otros miembros de la organización, como el equipo de marketing, pueden publicar sus propias API o incluso utilizar las de terceros como parte de los esfuerzos de marketing.Para el equipo de seguridad, un inventario preciso de las API en uso es un primer paso fundamental.

La colaboración es clave – los equipos de seguridad deben asociarse con DevOps para diseñar e implementar controles de seguridad adecuados para las API. Los DevOps quieren responder con rapidez. Los equipos de seguridad deben entender los movimientos de los DevOps e implantar controles de seguridad que puedan ser gestionados de forma centralizada y automatizados en los procesos de CI/CD.

La seguridad de las puertas de enlace de las API se queda atrás – las puertas de enlace actuales suelen centrarse en la autenticación, el control de versiones y el análisis (para la medición y la facturación). Aunque estos controles de seguridad son importantes, no proporcionan una protección completa para las API. La seguridad de las API debe ser suficiente para defenderse de los ataques a los servicios de autenticación, la capa 7 de DoS, la exfiltración de datos, los exploits, las inyecciones y las anomalías.

Directamente en el punto de mira, las API siguen siendo vulnerables

Las API son el centro de las plataformas empresariales digitales actuales como puntos cruciales de control. Las API suelen estar diseñadas para ser expuestas externamente y para que accedan socios comerciales, clientes y microservicios. Al igual que las aplicaciones web, las API pueden ser una puerta de acceso a datos sensibles que deben protegerse adecuadamente. Los recientes incidentes relacionados con las API en organizaciones como Venmo, Facebook y Salesforce pueden servir de lección sobre la importancia de la seguridad. F5 Labs destaca aquí otros percances relacionados con API.

Como ocurre con muchos avances tecnológicos, la seguridad suele quedar en segundo término. La seguridad de las API no es una excepción a esta regla. Mientras la economía impulsada por las API avanza, los profesionales de la seguridad pueden verse abrumados por el volumen, el ritmo y la complejidad de abordar la seguridad de las API.

La proliferación masiva de las API continuará.A medida que las aplicaciones se conviertan en el centro de las empresas, la proliferación de APIs seguirá aumentando. El directorio de API Web Programable ha visto un rápido aumento de las API publicadas en 2019 (cientos de nuevas API cada mes). Esperamos que esta cifra siga aumentando, sobre todo a medida que los sectores industriales impulsen la interoperabilidad basada en API. La PSD2 de la UE (Directiva revisada sobre servicios de pago) es un buen ejemplo.

La seguridad debe seguir el ritmo de la distribución CI/CD. Las puertas de enlace de las API que admiten el «versionado» permiten a los proveedores de API añadir continuamente nuevas funciones y características sin romper las integraciones de los clientes existentes. Esto es genial para el CI/CD, sin embargo, si la seguridad ralentiza el proceso, puede afectar directamente al negocio y anular los beneficios del desarrollo ágil. Para seguir el ritmo de estos entornos, los controles de seguridad deben automatizarse e integrarse en el proceso de lanzamiento para que el equipo de seguridad pueda aplicar de forma centralizada los controles comunes sin afectar a los ciclos de lanzamiento.

La desigualdad en la propiedad de la seguridad de las API es un factor a tener en cuenta.Las API se utilizan en toda la organización: aplicaciones móviles, microservicios, la nube y en las instalaciones. La visibilidad y las capacidades de inventario de las API en toda la organización todavía se están desarrollando, dejando algunas API fuera del ámbito del equipo de seguridad. Los líderes de la organización y las partes interesadas deben comprender la aplicación de prácticas y controles de seguridad coherentes.

La seguridad de las puertas de enlace de las API debe madurar. Hoy en día, hay muchos proveedores que posicionan puertas de enlace de API, como MuleSoft, Google (Apigee), Kong, Istio y Oracle. Estos proporcionan conjuntos de funciones necesarios para las puertas de enlace de las API, como el control de versiones, el enrutamiento, el análisis/medición y la autenticación. Cada uno de ellos tiene sus propios puntos fuertes y su valor añadido, sin embargo, es necesario implementar controles de seguridad completos que protejan frente a violaciones de acceso, inyecciones, DoS y exploits, junto con otros servicios de seguridad para puertas de enlace.
_____

Con el escenario ya preparado, permanezca atento a una publicación de la semana que viene en el que profundizaremos en qué puede hacer para afrontar los retos mencionados...