NGINX App Protect aporta seguridad al ecosistema de API

En los últimos años, las API se han convertido en el enfoque de facto para construir la economía de aplicaciones moderna. Estas interfaces de software se han convertido en la forma predominante de permitir que los sistemas, aplicações y dispositivos se comuniquen y compartan una gran variedad de datos y funcionalidades. En esencia, las API se han convertido en la moderna Ruta de la Seda para la información y realmente le dan al cliente el poder de desbloquear soluciones que combinan las mejores herramientas de varios proveedores.

Del total de organizaciones encuestadas en el Informe Anual de Referencia de Conectividad de MuleSoft, el 80 % utiliza API públicas y/o privadas. Los beneficios reportados incluyen mayor productividad (54%), mayor innovación (47%) y ahorro de costos (34%), entre otros. Según la encuesta, las API también generan ingresos significativos para las empresas que las publican: en promedio, el 31% de los ingresos totales.

Sin embargo, no todo es color de rosa. Una investigación de F5 Labs descubrió que los incidentes de seguridad de API en la primera mitad de 2020 estaban en camino de superar la cantidad de incidentes de los dos años anteriores combinados. Un desafío importante que enfrentan los equipos de DevOps es que hay muchas áreas de debilidad con respecto a la seguridad de la API, desde una falta total de autenticación frente a los puntos finales de la API, hasta una autenticación rota y una autorización rota, hasta una configuración incorrecta básica.

La pregunta ahora es: ¿cómo proteger toda la actividad de su API? En este blog explicamos cómo un enfoque de “seguridad como código” centrado en NGINX App Protect es clave para proteger sus API y se integra perfectamente en su flujo de trabajo de CI/CD junto con soluciones de otros proveedores de seguridad en los que confía.

Las API sirven tanto a los empleados como a los socios

Según un seguimiento de ProgrammableWeb , hay más de 20 000 API privadas, de socios y públicas en uso, que habilitan las aplicaciones de las que dependemos todos los días. El atractivo de las API (y, por extensión, de los microservicios basados en contenedores en los que se ejecutan o con los que se conectan) es que pueden abrir sus capacidades de software y datos a una amplia gama de usuarios, incluidos sus empleados y todos sus socios estratégicos y comerciales. (Naturalmente, este enfoque también es atractivo para los equipos de DevOps, ya que pueden elegir los mejores proveedores para sus necesidades específicas).

Por ejemplo, muchas empresas aprovechan las API privadas y de socios para permitir el autoservicio de TI; hacer que los activos de TI sean detectables y reutilizables permite que más miembros de la organización hagan más sin depender de DevOps en todo momento. Cuando se realiza correctamente, la TI de autoservicio genera mayor agilidad, mayor velocidad de comercialización, soluciones centradas en el cliente que involucran a una variedad de proveedores, eficiencia, innovación e ingresos con mayores márgenes.

Esta dinámica también existe en el lado de desarrollo y producción de la ecuación: el software en contenedores y las API permiten al equipo de DevOps interactuar con una amplia gama de socios. Estos incluyen socios de gestión de acceso (IAM) como Okta , AuthO y Microsoft , así como socios de gestión del ciclo de vida como MuleSoft , Akana y Kong .

Seguridad como código, política como protección

En los entornos de CI/CD dinámicos y de ritmo rápido de la actualidad, los desarrolladores y los equipos de DevOps necesitan un enfoque holístico para proteger las aplicaciones web y las API , con herramientas de seguridad de aplicação que les ayuden a implementar soluciones y lanzar software de forma rápida y segura. Los equipos necesitan proteger su código y al mismo tiempo permanecer estrechamente integrados con los socios de gestión de acceso y gestión del ciclo de vida que elijan.

A medida que DevOps se ha transformado en DevSecOps en los últimos años, ha habido un impulso hacia la implementación de la seguridad en sí misma como código . Esta es simplemente otra forma de decir que las empresas están comenzando a reconocer la necesidad de incorporar seguridad en cada aspecto del nuevo software, en lugar de ver la seguridad como algo que se agrega después de que se realiza toda la codificación. Esto incluye prácticas como:

• Automatizar la seguridad siempre que sea posible, integrándola directamente en el flujo de trabajo de CI/CD
• Construir la seguridad como una barandilla, no como una puerta (es decir, brindar orientación y herramientas en lugar de simplemente conceder o denegar el acceso)
• Trabajar con una variedad de socios para garantizar que las soluciones de seguridad sean consistentes, centralizadas y disponibles a través del autoservicio, para cualquier entorno, incluidos los entornos distribuidos y en contenedores.

“Seguridad como código” significa incorporar seguridad en cada aspecto del nuevo software en lugar de simplemente agregarla al final.

Seguridad de API avanzada para infraestructuras de aplicação modernas

F5 es un importante defensor del enfoque de seguridad como código para hacer que la seguridad de las aplicaciones sea adaptable, escalable y confiable, y NGINX App Protect juega un papel importante para hacerlo posible. NGINX App Protect combina la seguridad de API con funciones fundamentales de nuestro firewall de aplicação web avanzado (Advanced WAF) líder en el mercado y protección contra bots para ayudar a DevOps a:

• Integrar controles de seguridad no disruptivos (según lo autorizado por el equipo de seguridad) en los procesos de automatización y CI/CD
• Implementar y administrar controles de seguridad de aplicaciones en entornos distribuidos, como contenedores y microservicios.
• Implementar controles de seguridad rentables sin afectar negativamente la velocidad de lanzamiento ni el rendimiento de las aplicação

Con NGINX App Protect usted implementa la seguridad de las aplicação como un paquete de software liviano que también es independiente de la infraestructura subyacente. En consecuencia, el desarrollador de software puede utilizar políticas declarativas (“seguridad como código”) para proteger todo lo que entra y sale de una puerta de enlace API u otro controlador de Ingress. Según este modelo, incluso si una API no es segura de manera predeterminada, la seguridad con NGINX App Protect se puede aplicar en múltiples puntos, ya sea en el ingreso, dentro de un pod de Kubernetes o en todos los servicios.

Al trabajar con otros líderes de la industria que son priorizados por nuestros clientes y adoptar a los proveedores y productos que ya utilizan los equipos de DevOps en todo el mundo, F5 y NGINX se comprometen a brindar soluciones de vanguardia para todo el ecosistema de aplicação .

CONCLUSIÓN

A medida que las API se convierten en la nueva Silk Road para compartir información y hacen posible conectarse con sus usuarios como nunca antes, NGINX App Protect está aquí para defender sus aplicaciones y datos de toda la gama de amenazas potenciales. NGINX App Protect está diseñado para la forma en que entrega aplicaciones, incluida la capacidad de integrarse estrechamente con su ecosistema de socios. Esta solución líder en la industria, que funciona sin problemas en todos los entornos DevOps, integra controles de seguridad no disruptivos en todos los procesos de automatización DevOps y CI/CD para garantizar que la seguridad de las aplicaciones no se agregue como una ocurrencia de último momento ni se integre como una medida provisional, sino que esté incorporada desde el principio.

¿Estás listo para probar NGINX App Protect por ti mismo? Comience hoy una prueba gratuita de 30 días o contáctenos para analizar sus casos de uso .