Las 3 prácticas recomendadas de seguridad para API

¿Siente que está expuesto? Aprenda cómo puede superar las amenazas invisibles.

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

INTRODUCCIÓN

Para las organizaciones que quieren prosperar en la nueva economía digital, el statu quo no es suficiente. Los controles de seguridad tradicionales son estáticos e inflexibles. Se diseñaron en la época de la comunicación cliente/servidor con recorridos de usuario y flujos de tráfico predecibles, mucho antes de que las API se convirtieran en omnipresentes y en la piedra angular de las experiencias digitales actuales.

Aunque los esfuerzos por modernizar la seguridad infundiendo confianza cero, acceso con mínimos privilegios y principios de autenticación/autorización han dado sus frutos, el juego ha cambiado. Los participantes del juego de las aplicaciones que le animan a realizar transacciones en sus propiedades digitales ya no son usuarios en el sentido tradicional. Cada vez más, esos «usuarios» son llamadas a la lógica empresarial desde las API, que pueden ser de socios o agregadores tanto como de clientes o posibles clientes. La importancia de las API también significa que son un objetivo mucho mayor para los atacantes.

Las organizaciones que quieran sobrevivir deben proteger sus API y mitigar los riesgos no deseados e imprevistos en un tejido digital distribuido y en constante cambio. Las organizaciones que quieran prosperar deben concentrar sus esfuerzos estratégicos en unas pocas áreas clave para crear una plataforma de seguridad de API predecible, escalable y autodefensiva.

Seguridad tradicional frente a seguridad moderna

Los controles de seguridad tradicionales están muy extendidos y son utilizados por organizaciones de todo el mundo para proteger los secretos comerciales y los datos de los clientes. Las empresas utilizan sistemas de cifrado-descifrado para ayudar a garantizar la privacidad y evitar el robo de datos restringiendo el acceso a la información sensible. Los controles de seguridad, como la limitación de la velocidad, ayudan a las empresas a prevenir los ataques de denegación de servicio (DoS) y a reducir el «web scraping», permitiéndoles limitar el número y la frecuencia de las solicitudes a las líneas de tráfico normales y esperadas. Además, las organizaciones suelen utilizar una combinación de herramientas de seguridad, como cortafuegos web (WAF), análisis de código estático y pruebas de seguridad de aplicaciones dinámicas para mitigar muchas amenazas comunes, como las que figuran en el top 10 de OWASP.

Sin embargo, en el mundo digital actual, las medidas de seguridad tradicionales no son suficientes. Por eso muchas organizaciones están adoptando controles de seguridad modernos como la autenticación (AuthN), la autorización (AuthZ) y la inspección del tráfico para sus aplicaciones distribuidas.

Las organizaciones utilizan la autenticación multifactor, los certificados de clave pública, la biometría y otros métodos para confirmar la identidad de las personas y los dispositivos y asegurarse de que únicamente los usuarios legítimos y los equipos de confianza pueden acceder a sus datos. La autorización es simplemente conceder los permisos apropiados a los usuarios autentificados, asegurando que puedan acceder a todos los archivos y datos que necesitan para hacer su trabajo mientras se les impide ver otra información a la que no deberían acceder. La inspección del tráfico permite a las empresas minimizar los riesgos examinando el tráfico de las aplicaciones e identificando la actividad inusual y las amenazas potenciales, así como proporcionando cualquier información necesaria para la contabilidad o la respuesta ante incidentes.

Aunque estos controles están ampliamente desplegados y son bien comprendidos por los equipos de seguridad y de riesgos, su aplicación en una plétora de puntos de contacto digitales es un desafío crítico.

La evolución hacia la seguridad adaptativa

La seguridad se centra cada vez más en la identidad y la verificación. Las organizaciones utilizan métodos como la confianza cero y el acceso con mínimos privilegios para aumentar el rigor de su seguridad, no confiando en los usuarios ni en los dispositivos por defecto y limitando su acceso a la información al mínimo necesario, en muchos casos mediante el modelado de casos de uso predeterminados. Las empresas también utilizan métodos como el análisis del comportamiento para detectar comportamientos sospechosos que puedan indicar posibles amenazas de usuarios malintencionados, y controles basados en el riesgo para intensificar el proceso de autenticación, haciéndolo más estricto a medida que aumenta el nivel de amenaza percibido.

 

    

Figura 1: El Internet de las cosas conecta el mundo que nos rodea y potencia nuestro modo de vida moderno.

 

Sin embargo, las organizaciones actuales operan con arquitecturas complejas e interconectadas, lo que complica su capacidad para aplicar políticas de seguridad como AuthN y AuthZ de forma coherente. El departamento de TI está desbordado por la proliferación de herramientas y el reto de gestionar entornos heterogéneos. Es probable que los «usuarios» sean API, servicios o máquinas, y no seres humanos. La creciente complejidad e interconexión de la arquitectura exige un cambio de paradigma en la gestión de riesgos. Lo que se necesita es una visibilidad multiplataforma unida a la inteligencia artificial (IA) y el aprendizaje automático (ML) para que las organizaciones puedan correlacionar los datos a escala.

    Figura 2: Los WAF son un control de seguridad estratégico que ha evolucionado con el tiempo.

icono-plataforma

«Las tecnologías de aplicaciones multiplataforma permiten a las organizaciones adaptarse mejor a los cambios inesperados de un mercado en constante evolución».1

Seguridad adaptativa basada en la identidad

Un conjunto básico de servicios de aplicaciones multiplataforma, junto con un modelo operativo positivo, son fundamentales para cualquier plataforma de seguridad, especialmente cuando se protegen API. Esos servicios básicos de aplicaciones pueden incluir la confianza cero y la gestión basada en el riesgo, así como la microsegmentación, que aísla los servicios y el acceso a ellos dentro del centro de datos o el entorno de la nube. La defensa en profundidad nativa, otro elemento central, proporciona múltiples capas de controles de seguridad en toda la plataforma para crear resistencia en caso de que un control de seguridad no logre disuadir a un atacante motivado.

El fuerte aislamiento del espacio de nombres segrega los recursos para una mayor seguridad, y la gestión de secretos aplica sistemáticamente las políticas de seguridad para la comunicación entre máquinas, que es cada vez más común en las arquitecturas modernas.

 

    Figura 3: Autoridad de identidad para AuthN y AuthZ como parte de los servicios de aplicaciones multiplataforma.

Un modelo operativo de seguridad positiva permite a las organizaciones descubrir dinámicamente nuevos puntos de conexión de API, protegerlos automáticamente con la detección de anomalías basada en IA/aprendizaje automático y aplicar sistemáticamente la política a lo largo del ciclo de vida de la aplicación, reduciendo el riesgo y los efectos secundarios no deseados de una arquitectura altamente descentralizada e interconectada.

Contar con una plataforma que pueda escalar para ofrecer estos servicios de forma consistente, independientemente de dónde residan la infraestructura y las API subyacentes, permitirá a los equipos de seguridad centrar sus esfuerzos en la gestión estratégica de los riesgos en lugar de en los retos tácticos cotidianos de mantener la política de seguridad en un ciclo de lanzamiento dinámico con muchas conexiones al ecosistema.

    Figura 4: Un modelo operativo de seguridad positiva permite la protección automatizada y las defensas adaptativas.

seguridad-basada-identidad

«Las organizaciones que adopten una seguridad basada en la identidad podrán gestionar las amenazas de forma contextual y seguir modernizándose al tiempo que equilibran eficazmente el riesgo y el rendimiento».1

Las 3 prácticas recomendadas de seguridad para API

Para que las organizaciones prosperen en la nueva economía digital, sus equipos de seguridad y riesgo deben concentrar sus esfuerzos estratégicos en tres áreas para ayudar a crear una plataforma de seguridad de API predecible, escalable y autodefensiva:

1. Seguridad basada en la identidad

Evolucionar hacia una seguridad adaptativa basada en la identidad.

2. Servicios multiplataforma

Implantar servicios de aplicaciones multiplataforma para obtener coherencia, observabilidad y conocimientos prácticos.

3. Protección automatizada

Aprovechar la IA/aprendizaje automático para una protección automatizada continua.

Para obtener más información, lea el libro electrónico:  «Prácticas recomendadas de seguridad para API: consideraciones clave para la protección de las API»

 

 

 

1El estado de las estrategias de aplicación en 2022

Más información

EBOOK

EBOOK

Prácticas recomendadas para la seguridad de las API: Consideraciones para la protección de las API

Aprenda por qué los controles de seguridad existentes pueden ser insuficientes para proteger adecuadamente las API en un ciclo de vida de la aplicación en constante cambio con una plétora de integraciones de terceros.

Obtener el eBook ›

eBook

BLOG

El estado de las estrategias de aplicación en 2022: el futuro de las empresas es adaptativo

Descubra cómo las empresas están haciendo que sus negocios digitales sean más receptivos y estén mejor preparados para servir a sus clientes, socios y empleados, tanto ahora como en el futuro.

Leer el blog ›

SIMULACIÓN

SIMULACIÓN

F5 Distributed Cloud WAAP Simulator Hub: protección de las API

Visite F5 Simulator Hub para obtener más información sobre F5 Distributed Cloud WAAP.

Ver cómo funciona ›

INFORME FORRESTER

INFORME DE FORRESTER

Inseguridad de las API: La amenaza que acecha a su software

Diseñar y crear una seguridad para las API de arriba a abajo y de extremo a extremo a través del ciclo de vida del software.

Obtener el informe ›