La economía digital global requiere interfaces de programación de aplicação (API) para conectar servicios basados en aplicaciones con clientes, consumidores, socios y empleados. Las aplicações heredadas, modernizadas y nuevas están evolucionando hacia arquitecturas basadas en API para acelerar el desarrollo de aplicação y reducir el tiempo de comercialización. Acercar la funcionalidad de la aplicação al cliente para reducir la fricción es el origen de las arquitecturas descentralizadas y del movimiento API-first.
Lamentablemente, las eficiencias obtenidas mediante las API en el desarrollo de aplicação se están viendo eclipsadas por el riesgo que introducen para una empresa de TI. Los piratas informáticos han aprendido que es fácil comprometer las API cuando están poco protegidas o no están protegidas. Nadie discutiría que las API requieren prácticas seguras ; sin embargo, no hay consenso en la industria sobre la mejor manera de protegerlas. Las siguientes son algunas de las principales razones por las que las API requieren más protección de la que habitualmente reciben.
Se produce un número cada vez mayor de violaciones de seguridad importantes debido a la poca visibilidad y seguridad de las API y continuarán en el futuro previsible.1 La carrera hacia la digitalización de las organizaciones pondrá en producción más API inadecuadamente protegidas. Muchas organizaciones intentarán resolver las vulnerabilidades de las API mediante un mejor diseño y codificación, solo para descubrir las mismas fallas de seguridad que las aplicações en general, en parte porque la seguridad no es una competencia central para un desarrollador de aplicaciones típico y los equipos de seguridad pueden no estar al tanto de todas las interconexiones de terceros dentro de su entorno.
La raíz de la proliferación de API es la falta de una estrategia holística que incluya gobernanza y mejores prácticas. El desarrollo de aplicação ágiles ha dado lugar a múltiples versiones de la misma API sin el beneficio del control de versiones de API. La transición a microservicios da como resultado una aplicação compuesta por muchas docenas de API.
Las API no administradas crean API fraudulentas, fantasma y zombis. Las API se acercarán a los 2 mil millones en 2030, lo que agravará aún más el problema.2
Operar en un entorno de nube distribuida es la norma hoy en día. Sin embargo, el uso de una puerta de enlace API dedicada como punto de entrada único para controlar la seguridad tiene limitaciones, incluidos puntos únicos de falla y degradación del rendimiento. Dado que hoy en día las puertas de enlace de API son un componente fundamental de la infraestructura de API, se hizo evidente que la proliferación de API aumenta la implementación de puertas de enlace de API, lo que conduce a una proliferación de puertas de enlace de API.
Los WAF modernos brindan protección y seguridad sólidas para los protocolos API, incluidos GraphQL y gRPC, y brindan una solución provisional para vulnerabilidades de software críticas, pero a menudo no ofrecen la observabilidad necesaria de las API para detectar amenazas avanzadas en arquitecturas híbridas y de múltiples nubes. Muchos WAF carecen de descubrimiento de API dinámico, detección automatizada y mitigación de amenazas, pruebas y capacidades de automatización y aplicación de especificaciones de documentos OpenAPI.
Ahora que sabemos por qué a los piratas informáticos les encantan las API, ¿cómo podemos protegerlos?
Los reguladores han tomado nota del riesgo que introducen las API y han alentado a las empresas a mitigar su riesgo en todas sus empresas de TI, incluidos terceros. Los Estados Unidos. El Departamento del Tesoro y la Oficina de Protección Financiera del Consumidor (CFPB) emitieron una guía sólida para las entidades que cumplen con las normas y necesitan proteger las API. Desde una perspectiva de estándares, el requisito 6.3.2 de PCI DSS v4 requiere seguridad de API, y la recomendación NIST 800-95 Guide to Secure Web Services desde 2007 – 800-24 Security Strategies for Microservices-based Aplicação Systems especifica la gestión segura de API.
Una arquitectura de seguridad de API debe considerar la integración con una empresa de TI distribuida, incluidas múltiples nubes, bordes regionales y niveles de servicio. La solución debe poder implementarse en cualquier hardware, entorno virtualizado, Docker, Kubernetes, etc. La solución debe permitir que las políticas de seguridad sigan la API a través de su ecosistema. El siguiente es un ejemplo de una arquitectura de referencia para proteger las API.
Los piratas informáticos se han dado cuenta desde hace tiempo de que las API padecen los mismos problemas de seguridad que las aplicações web, incluidos controles de autenticación y autorización débiles. Se han vuelto expertos en explotar vulnerabilidades de API, abusar de la lógica empresarial y crear exploits de día cero para acceder a empresas de TI con poca resistencia.
Los datos personales son propiedad del individuo, no de una aplicação o proveedor de servicios. La economía digital impulsa el intercambio abierto de datos. Las API habilitan datos y servicios privados, públicos, de socios y de terceros. Las API deben tener tecnologías que preserven la privacidad aplicadas para cumplir con las regulaciones de privacidad de datos.
La implementación de una solución de seguridad de API requiere integración de infraestructura y conectores, algunos personalizados para implementarlos correctamente en un parque de TI. Comprender las complejidades de la implementación requiere una planificación arquitectónica. Seleccionar una solución que funcione de inmediato dentro de una arquitectura empresarial de TI existente reduce el tiempo de implementación.
Para obtener más información sobre cómo defenderse de los ataques de API, consulte mi informe reciente encargado por F5, Guía de evaluación de soluciones de seguridad de API . Este informe analiza las consideraciones más importantes a la hora de seleccionar una solución de protección de API.
Por Tari Schreider, C|CISO, CRISC – Asesor estratégico, Datos Insights