Comprendre les défis et les risques potentiels des API

Pour les équipes de sécurité, la prolifération des API au sein d’un tissu de points d’accès et d’intégrations en constante expansion complique l’identification et la protection de la logique métier stratégique à l’aide de méthodes manuelles. Les API sont de plus en plus distribuées sur des infrastructures hétérogènes, hors du champ des contrôles de sécurité centralisés. De plus, comme les équipes de développement d’applications avancent rapidement pour innover, les appels d’API peuvent se retrouver cachés au cœur de la logique métier, ce qui les rend difficiles à identifier.

Avec une telle vitesse, la sécurité est souvent laissée de côté. Elle est même parfois tout simplement négligée lors de la conception des API. Il arrive aussi souvent que sécurité soit prise en compte, mais que la politique soit mal configurée en raison de la complexité de la maintenance des déploiements d’applications qui couvrent plusieurs clouds et architectures.

Les API étant conçues pour l’échange de données de machine à machine, nombre d’entre elles constituent un accès direct à des données sensibles, souvent sans les mêmes contrôles que la validation des entrées sur les formulaires web destinés aux utilisateurs. Pourtant, ces points d’accès sont soumis aux mêmes attaques que les applications web, à savoir les exploits et les abus qui conduisent à la violation de données et à la fraude.

Non seulement les points d’accès des API doivent être évalués avec les mêmes contrôles de risques que les applications web, mais des considérations supplémentaires sont nécessaires pour atténuer les risques imprévus des API fantômes et des intégrations tierces.

Les API subissent les mêmes attaques que les applications web

Des incidents de sécurité touchant des API ont été à l’origine de violations de données comptant parmi les plus médiatisées, car les API sont sensibles à un grand nombre des attaques connues pour cibler les applications web, notamment l’exploitation de vulnérabilités, les bots et les automatisations malveillantes :

• L’injection et le Cross-site scripting (XSS) peuvent conduire à un accès non autorisé aux données.
• Les attaques par déni de service distribué (DDoS) peuvent perturber les services essentiels et générateurs de revenus.
• L’injection d’identifiants et d’autres attaques automatisées peuvent conduire à la compromission de comptes, à des violations de données et à la fraude.

Les API introduisent involontairement des risques tout au long de la conception et de la mise en œuvre

Les applications ont évolué vers un modèle de plus en plus distribué et décentralisé, les API servant d’interconnexion. Les applications mobiles et les intégrations tierces qui augmentent la valeur commerciale sont devenues des enjeux majeurs pour rester compétitif dans un monde connecté. Les recherches de F5 Labs montrent que le nombre d’incidents de sécurité liés aux API augmente chaque année, et malgré l’omniprésence des API, les ramifications de la surface d’attaque des architectures API-first ne sont pas encore comprises par tous.

Le risque augmente lorsque les API sont largement distribuées sans stratégie de gouvernance globale. Ce risque est exacerbé par la nature continue du cycle de vie des applications, où les applications et les API évoluent constamment.

En raison de la variété des interfaces et de l’exposition potentielle aux risques, les équipes de sécurité doivent protéger la porte d’entrée ainsi que toutes les fenêtres qui composent les applications modernes.

Solution de sécurité des API

Les progrès de l’apprentissage automatique permettent de découvrir dynamiquement les points d’accès des API et de cartographier automatiquement leurs interdépendances, ce qui constitue un moyen pratique d’analyser les modèles de communication des API au fil du temps et d’identifier les API fantômes ou non documentées qui augmentent les risques.

En outre, la surveillance et l’analyse continues des points d’accès permettent de construire de manière autonome des bases de références de sécurité, ce qui permet de détecter et d’atténuer en temps réel les menaces et les comportements anormaux sans surveillance manuelle.

Cette protection continue et automatisée se traduit par des politiques hautement calibrées qui peuvent être appliquées de manière cohérente dans toutes les architectures et pour toutes les API — en atténuant les exploits, en décourageant les robots et les abus qui conduisent à la fraude, et en appliquant le schéma et le contrôle d’accès.

Les entreprises doivent moderniser leurs applications existantes, tout en développant simultanément de nouvelles expériences utilisateur en exploitant des architectures modernes et des intégrations tierces. Une stratégie de gouvernance holistique qui protège les API du noyau au cloud en passant par la périphérie soutient la transformation numérique tout en réduisant les risques connus et inconnus.

Des paradigmes de sécurité flexibles pour les API

La sécurité de F5 s’exécute sous la forme la mieux adaptée à vos architectures d’application et à vos exigences en matière de contrôle opérationnel, qu’il s’agisse de solutions autogérées offrant un contrôle granulaire dans le centre de données et le cloud privé/public, d’une plateforme « cloud as a service » qui réduit la complexité grâce à une sécurité intégrée et facile à utiliser, ou de services gérés qui étendent vos équipes de sécurité et de lutte contre la fraude grâce à une supervision SOC 24 heures sur 24, 7 jours sur 7 et 365 jours par an.

Plusieurs facteurs clés sont à prendre en compte pour le déploiement de la sécurité des API :

1. Intégration aux processus de développement existants
   Les équipes de sécurité peuvent suivre le cycle de vie des applications en s’intégrant aux pipelines CI/CD et en utilisant la découverte dynamique des API et la détection des anomalies, qui identifient les API fantômes et atténuent les risques imprévus.
2. Environnements multi-cloud et hybrides
   Les solutions F5 rationalisent les politiques grâce à un modèle de sécurité positive qui empêche les erreurs de configuration et assure des protections cohérentes du cœur à la périphérie à l’aide des définitions OpenAPI, des fichiers Swagger et des principes de confiance zéro.
3. API dans les activités hautement réglementées
   Les API qui impliquent l’échange d’informations sensibles peuvent nécessiter des contrôles de sécurité supplémentaires pour se conformer aux réglementations locales et/ou aux mandats du secteur.
4. Charges de travail d’API dans Kubernetes et Lambda
   La technologie de maillage de services F5 aide les équipes de livraison d’API à relever les défis de la visibilité et de la sécurité lorsque les points d’accès d’API sont déployés dans un environnement Kubernetes ou via AWS Lambda.
5. Passerelle API
   La publication, l’authentification et l’autorisation des API peuvent être associées à des protections API robustes pour des fonctions de passerelle intégrées dans des architectures en microservices.