NGINX App Protect apporte la sécurité à l'écosystème des API

Ces dernières années, les API sont devenues l’approche de facto pour construire l’économie des applications moderne. Ces interfaces logicielles sont devenues le moyen prédominant permettant aux systèmes, aux applications et aux appareils de communiquer et de partager une vaste gamme de données et de fonctionnalités. Essentiellement, les API sont devenues la route de la soie moderne de l’information et donnent véritablement au client le pouvoir de débloquer des solutions qui combinent les meilleurs outils de différents fournisseurs.

Parmi les organisations interrogées dans le rapport annuel d'analyse comparative de connectivité de MuleSoft, 80 % utilisent des API publiques et/ou privées. Les avantages signalés comprennent une productivité accrue (54 %), une innovation accrue (47 %) et des économies de coûts (34 %), entre autres. Selon l’enquête, les API génèrent également des revenus importants pour les entreprises qui les publient – en moyenne 31 % du chiffre d’affaires total.

Tout n’est cependant pas rose. Une étude menée par F5 Labs a révélé que les incidents de sécurité des API au cours du premier semestre 2020 étaient en passe de dépasser le nombre d'incidents des deux années précédentes combinées. L’un des défis majeurs auxquels sont confrontées les équipes DevOps est qu’il existe de nombreux domaines de faiblesse en matière de sécurité des API, allant d’un manque total d’authentification devant les points de terminaison des API, à une authentification et une autorisation rompues, jusqu’à une mauvaise configuration de base.

La question est maintenant : comment sécuriser l’ensemble de votre activité API ? Dans ce blog, nous expliquons comment une approche de « sécurité en tant que code » centrée sur NGINX App Protect est essentielle pour protéger vos API et s'intègre parfaitement dans votre pipeline CI/CD aux côtés des solutions d'autres fournisseurs de sécurité sur lesquels vous comptez.

Les API servent à la fois les employés et les partenaires

Selon ProgrammableWeb , plus de 20 000 API privées, partenaires et publiques sont utilisées, permettant de créer les applications sur lesquelles nous comptons au quotidien. L’attrait des API – et par extension, des microservices basés sur des conteneurs dans lesquels les API s’exécutent ou avec lesquels elles se connectent – est qu’ils peuvent ouvrir vos capacités logicielles et vos données à un large éventail d’utilisateurs, y compris vos employés et tous vos partenaires stratégiques et commerciaux. (Naturellement, cette approche est également attrayante pour les équipes DevOps, car elles sont en mesure de choisir les meilleurs fournisseurs pour leurs besoins spécifiques.)

Par exemple, de nombreuses entreprises exploitent des API privées et partenaires pour permettre l’informatique en libre-service ; rendre les ressources informatiques détectables et réutilisables permet à davantage de membres de l’organisation d’en faire plus sans s’appuyer à chaque instant sur DevOps. Lorsqu'elle est bien mise en œuvre, l'informatique en libre-service se traduit par une plus grande agilité, une mise sur le marché plus rapide, des solutions axées sur le client impliquant une variété de fournisseurs, une efficacité, une innovation et des marges de revenus plus élevées.

Cette dynamique existe également du côté du développement et de la production de l’équation : les logiciels conteneurisés et les API permettent à l’équipe DevOps d’interagir avec un large éventail de partenaires. Il s'agit notamment de partenaires de gestion des accès (IAM) comme Okta , AuthO et Microsoft , ainsi que de partenaires de gestion du cycle de vie comme MuleSoft , Akana et Kong .

La sécurité comme code, la politique comme protection

Dans les environnements CI/CD dynamiques et rapides d’aujourd’hui, les développeurs et les équipes DevOps ont besoin d’une approche holistique pour protéger les applications Web et les API , avec des outils de sécurité des application qui les aident à mettre en œuvre des solutions et à lancer des logiciels rapidement et en toute sécurité. Les équipes doivent sécuriser leur code tout en restant étroitement intégrées avec les partenaires de gestion des accès et de gestion du cycle de vie de leur choix.

Alors que DevOps s'est transformé en DevSecOps au cours des dernières années, il y a eu une tendance à mettre en œuvre la sécurité elle-même sous forme de code . Il s’agit simplement d’une autre façon de dire que les entreprises commencent à reconnaître la nécessité d’intégrer la sécurité dans chaque aspect des nouveaux logiciels, plutôt que de considérer la sécurité comme quelque chose qui est ajouté une fois que tout le codage est terminé. Cela comprend des pratiques telles que :

• Automatiser la sécurité autant que possible, en l'intégrant directement dans le pipeline CI/CD
• Construire la sécurité comme une barrière de sécurité et non comme une porte (c'est-à-dire fournir des conseils et des outils au lieu de simplement accorder ou refuser l'accès)
• Travailler avec une gamme de partenaires pour garantir que les solutions de sécurité sont cohérentes, centralisées et disponibles en libre-service – pour n'importe quel environnement, y compris les environnements distribués et conteneurisés

« La sécurité en tant que code » signifie que vous intégrez la sécurité dans chaque aspect du nouveau logiciel au lieu de simplement l’ajouter à la fin.

Sécurité avancée des API pour les infrastructures application modernes

F5 est un fervent partisan de l’approche de sécurité en tant que code pour rendre la sécurité des applications adaptable, évolutive et fiable, et NGINX App Protect joue un rôle important pour rendre cela possible. NGINX App Protect combine la sécurité des API avec les fonctionnalités fondamentales de notre pare-feu application Web avancé (Advanced WAF) et de notre protection contre les robots, leaders du marché, pour aider DevOps :

• Intégrer des contrôles de sécurité non perturbateurs (tels qu'autorisés par l'équipe de sécurité) dans les processus d'automatisation et de CI/CD
• Déployez et gérez les contrôles de sécurité des applications dans des environnements distribués tels que des conteneurs et des microservices
• Mettre en œuvre des contrôles de sécurité rentables sans impact négatif sur la vitesse de publication ou les performances des application

Avec NGINX App Protect, vous déployez la sécurité des application sous la forme d'un package logiciel léger qui est également indépendant de l'infrastructure sous-jacente. En conséquence, le développeur de logiciels peut utiliser des politiques déclaratives (« sécurité en tant que code ») pour sécuriser tout ce qui entre et sort d’une passerelle API ou d’un autre contrôleur Ingress. Dans ce modèle, même si une API n'est pas elle-même sécurisée par défaut, la sécurité avec NGINX App Protect peut être appliquée à plusieurs points, que ce soit à l'entrée, au sein d'un pod Kubernetes ou entre les services.

En collaboration avec les autres leaders du secteur prioritaires de nos clients et en adoptant les fournisseurs et les produits déjà utilisés par les équipes DevOps du monde entier, F5 et NGINX s'engagent à fournir des solutions de pointe pour l'ensemble de l'écosystème application .

Conclusion

Alors que les API deviennent la nouvelle route de la soie pour le partage d'informations et permettent de se connecter à vos utilisateurs comme jamais auparavant, NGINX App Protect est là pour défendre vos applications et vos données contre toute la gamme des menaces potentielles. NGINX App Protect est conçu pour la manière dont vous fournissez des applications, y compris la possibilité de s'intégrer étroitement à votre écosystème de partenaires. Fonctionnant de manière transparente dans tous les environnements DevOps, cette solution de pointe intègre des contrôles de sécurité non perturbateurs dans l'ensemble des processus d'automatisation DevOps et CI/CD pour garantir que la sécurité des applications n'est pas ajoutée après coup ou intégrée comme une solution provisoire, mais intégrée dès le départ.

Prêt à essayer NGINX App Protect par vous-même ? Commencez un essai gratuit de 30 jours dès aujourd'hui ou contactez-nous pour discuter de vos cas d'utilisation .