Las 3 prácticas recomendadas de seguridad para API
Mejora tus defensas a medida que evolucionas tu tejido digital
INTRODUCCIÓN
Para las organizaciones que quieren prosperar en la nueva economía digital, el statu quo no es suficiente. Los controles de seguridad tradicionales son estáticos e inflexibles. Se diseñaron en la época de la comunicación cliente/servidor con recorridos de usuario y flujos de tráfico predecibles, mucho antes de que las API se convirtieran en omnipresentes y en la piedra angular de las experiencias digitales actuales.
Aunque los esfuerzos por modernizar la seguridad infundiendo confianza cero, acceso con mínimos privilegios y principios de autenticación/autorización han dado sus frutos, el juego ha cambiado.Los jugadores del juego de aplicação que lo alientan al realizar transacciones en sus propiedades digitales ya no son usuarios en el sentido tradicional. Cada vez más, esos “usuarios” son llamadas de lógica empresarial de las API, que pueden provenir tanto de socios o integraciones de ecosistemas como de clientes o clientes potenciales. La importancia de las API también significa que son un objetivo mucho más grande para los atacantes.
Las organizaciones que desean sobrevivir deben proteger sus API y mitigar riesgos imprevistos y no deseados en un tejido digital distribuido y en constante cambio, que abarca el centro de datos, las nubes privadas y públicas y el borde. Las organizaciones que desean prosperar deben concentrar sus esfuerzos estratégicos en unas pocas áreas clave para crear una plataforma de seguridad de API predecible, escalable y autodefensiva que proteja los puntos de contacto digitales en entornos híbridos y de múltiples nubes.
Seguridad tradicional frente a seguridad moderna
Los controles de seguridad tradicionales se implementan ampliamente y son utilizados por organizaciones de todo el mundo para proteger secretos comerciales y datos de clientes. Las empresas emplean la inspección de tráfico para ayudar a garantizar la privacidad y prevenir el robo de datos al restringir el acceso a información confidencial. Los controles de seguridad, como la limitación de velocidad en las puertas de enlace de API, ayudan a mitigar los ataques de denegación de servicio (DoS). Y los controles de raspado web en los firewalls de aplicação web (WAF) evitan que se vulnere información confidencial, como los precios. Además, las organizaciones suelen utilizar una combinación de herramientas de seguridad, como análisis de código estático y pruebas de seguridad de aplicação dinámicas, para abordar muchos riesgos comunes, como los que figuran en el Top 10 de OWASP.
Sin embargo, en el mundo digital actual, las medidas de seguridad tradicionales no son suficientes. Es por eso que muchas organizaciones están adoptando controles de seguridad modernos, incluida la autenticación (AuthN), la autorización (AuthZ) y la inspección dinámica del tráfico para sus aplicações distribuidas.
Las organizaciones utilizan autenticación multifactor, certificados de clave pública, biometría y otros métodos para confirmar la identidad de las personas y los dispositivos y asegurarse de que solo los usuarios legítimos y las máquinas confiables puedan acceder a sus datos. La autorización es simplemente una cuestión de otorgar permisos apropiados a usuarios autenticados, garantizando que puedan acceder a todos los archivos y datos que necesitan para hacer su trabajo y evitando que vean otra información a la que no deberían tener acceso. La inspección de tráfico permite a las empresas minimizar los riesgos al examinar el tráfico de aplicação a lo largo de sus cadenas de inspección de seguridad e identificar actividades inusuales y amenazas potenciales, además de proporcionar información necesaria para la contabilidad o la respuesta a incidentes.
Si bien estos controles están ampliamente implementados y bien comprendidos por los equipos de seguridad y riesgo, implementarlos en una gran cantidad de puntos de contacto digitales, desde el núcleo del centro de datos hasta el borde del cliente, es un desafío crítico.
La evolución hacia la seguridad adaptativa
La seguridad se centra cada vez más en la identidad y la verificación. Las organizaciones utilizan métodos como la confianza cero y el acceso con mínimos privilegios para aumentar el rigor de su seguridad, no confiando en los usuarios ni en los dispositivos por defecto y limitando su acceso a la información al mínimo necesario, en muchos casos mediante el modelado de casos de uso predeterminados. Las empresas también utilizan métodos como el análisis del comportamiento para detectar comportamientos sospechosos que puedan indicar posibles amenazas de usuarios malintencionados, y controles basados en el riesgo para intensificar el proceso de autenticación, haciéndolo más estricto a medida que aumenta el nivel de amenaza percibido.
Figura 1: La Internet de las cosas conecta el mundo que nos rodea y potencia nuestro estilo de vida moderno.
Sin embargo, hoy en día las organizaciones operan arquitecturas complejas e interconectadas, lo que complica su capacidad de aplicar políticas de seguridad como AuthN y AuthZ de manera consistente. TI está abrumado por la proliferación de herramientas y el desafío de gestionar entornos heterogéneos, y es probable que los “usuarios” sean API, servicios o máquinas en lugar de seres humanos. La creciente complejidad e interconexión de la arquitectura requiere un cambio de paradigma en la gestión de riesgos. Lo que se necesita es visibilidad multiplataforma combinada con inteligencia artificial (IA) y aprendizaje automático (ML) para que las organizaciones puedan correlacionar información de datos a escala y remediar rápidamente las amenazas emergentes: capacidades que ahora son posibles en las plataformas de protección de API como servicio (WAAPaaS) y aplicaciones web.
Figura 2: Los WAF son un control de seguridad estratégico que ha evolucionado con el tiempo.
La razón principal para elegir la seguridad como servicio es la velocidad.1
Seguridad adaptativa basada en la identidad
Un conjunto básico de servicios de aplicação multiplataforma junto con un modelo operativo positivo son fundamentales para cualquier plataforma de seguridad, especialmente al proteger las API. Estos servicios de aplicação básicos pueden incluir confianza cero y gestión basada en riesgos, así como microsegmentación, que aísla los servicios y el acceso a ellos dentro del centro de datos o el entorno de nube. La defensa en profundidad nativa, otro principio fundamental, proporciona múltiples capas de controles de seguridad en toda la plataforma para crear resiliencia en caso de que un control de seguridad no logre disuadir a un atacante motivado.
El fuerte aislamiento del espacio de nombres segrega los recursos para una mayor seguridad, y la gestión de secretos aplica sistemáticamente las políticas de seguridad para la comunicación entre máquinas, que es cada vez más común en las arquitecturas modernas.
Figura 3: Autoridad de identidad para AuthN y AuthZ como parte de servicios de aplicação multiplataforma.
Un modelo operativo de seguridad positivo permite a las organizaciones integrar la seguridad dentro de los canales de CI/CD, descubrir dinámicamente nuevos puntos finales de API, aplicar esquemas de API y controles de acceso, así como proteger automáticamente la lógica empresarial crítica con detección de anomalías basada en IA/ML. Esto permite la aplicación consistente de políticas durante todo el ciclo de vida de las aplicaciones, reduce el riesgo y la configuración incorrecta no intencionada en una arquitectura altamente descentralizada e interconectada y neutraliza a los usuarios maliciosos.
Una plataforma que pueda escalar para brindar estos servicios de manera consistente, independientemente de dónde residan la infraestructura subyacente y las API, y automatizar operaciones como el análisis de falsos positivos y la evaluación/clasificación de riesgos, permitirá a los equipos de seguridad concentrar sus esfuerzos en la gestión estratégica de riesgos en lugar de los desafíos tácticos diarios de mantener políticas de seguridad en todos los entornos y administrar una avalancha de alertas de seguridad que pueden no correlacionarse con ninguna acción o requerir una respuesta a incidentes.
Figura 4: Un modelo operativo de seguridad positivo permite protección automatizada y defensas adaptativas.
“Las tecnologías de gestión de identidad, incluido el uso de autenticación y autorización para la seguridad de las API, todavía se consideran los enfoques más valiosos para proteger las aplicações”.1
Las 3 prácticas recomendadas de seguridad para API
Para que las organizaciones prosperen en la nueva economía digital, sus equipos de seguridad y riesgo deben concentrar sus esfuerzos estratégicos en tres áreas para ayudar a crear una plataforma de seguridad de API predecible, escalable y autodefensiva:
1. Seguridad basada en la identidad
Evolucionar hacia una seguridad adaptativa basada en identidad.
2. Servicios multiplataforma
Implemente servicios de aplicação multiplataforma para lograr coherencia, observabilidad y conocimientos prácticos.
3.Protección automatizada
Aproveche la IA/ML para una protección automatizada continua .
DESCUBRA MÁS
EBOOK
Prácticas recomendadas para la seguridad de las API: Consideraciones para la protección de las API
El éxito de la seguridad de las API requiere vigilancia en múltiples frentes.
informe
Estado de la estrategia de aplicação
Descubra cómo las empresas están haciendo que sus negocios digitales sean más receptivos y mejor preparados para servir a sus clientes, socios y empleados, ahora y en el futuro.
Demostración
Experiencia de demostración de F5 Distributed Cloud
Vea F5 Distributed Cloud en acción.
Informe de Forrester
Los ocho componentes de la seguridad de API
Descubra cómo implementar un programa de seguridad de API holístico.