BLOG

Gateways de API são os novos pontos de controle estratégico (mas ainda carecem de segurança)

Miniatura F5
F5
Publicado em 19 de dezembro de 2019

A transformação de aplicativos monolíticos em ecossistemas de microsserviços tornou as APIs um ponto de controle estratégico e crítico. Enquanto os firewalls de aplicativos da Web (WAFs) têm sido uma ferramenta primária para proteger aplicativos baseados em HTTP, as APIs não têm controles equivalentes para conformidade, segurança e auditoria adequados. À medida que o tráfego de API e não humano ultrapassa o tráfego de aplicativos da web, os controles de segurança também precisam avançar. Os líderes de segurança devem usar as tendências emergentes como uma oportunidade para aprender mais sobre a proteção de APIs e como um meio de impulsionar melhorias na segurança de APIs dentro de suas próprias organizações.

A explosão de APIs é generalizada – A proliferação de APIs continuará. Além disso, pode não ser apenas a equipe de DevOps que está implementando APIs. Outras partes da organização, como a equipe de marketing, podem publicar suas próprias APIs ou até mesmo usar APIs de terceiros como parte dos esforços de marketing. Para a equipe de segurança, um inventário preciso das APIs em uso é um primeiro passo fundamental.

A colaboração é fundamental – As equipes de segurança precisam fazer parceria com o DevOps para projetar e implementar controles de segurança de API adequados. O DevOps quer evoluir rápido. As equipes de segurança precisam entender os movimentos do DevOps e instituir controles de segurança que possam ser gerenciados centralmente e automatizados nos processos de CI/CD.

A segurança do gateway de API está atrasada – Os gateways de API atuais geralmente se concentram em autenticação, controle de versão e análise (para medição e cobrança). Embora esses controles de segurança sejam importantes, eles não fornecem proteção total para APIs. É necessário ter segurança de API suficiente para defender contra ataques a serviços de autenticação, DoS de camada 7, exfiltração de dados, explorações, injeções e anomalias.

Diretamente na mira, as APIs continuam vulneráveis

As APIs estão no centro da plataforma de negócios digitais de hoje como pontos cruciais de controle. As APIs geralmente são projetadas para serem expostas externamente e acessadas por parceiros de negócios, clientes e microsserviços. Assim como os aplicativos da web, as APIs podem ser uma porta de entrada para dados confidenciais que precisam ser protegidos adequadamente. Incidentes recentes relacionados à API em organizações como Venmo, Facebook e Salesforce podem servir como lições sobre a importância da segurança da API. O F5 Labs destaca aqui outros contratempos de API dignos de nota.

Como acontece com muitos avanços tecnológicos, a segurança geralmente fica para trás. A segurança da API não é uma exceção a essa regra. Enquanto a economia orientada por API avança, os profissionais de segurança podem ficar sobrecarregados com o volume, o ritmo e a complexidade de abordar a segurança de API.

A proliferação em massa de APIs continuará. À medida que os aplicativos se tornam o ponto focal dos negócios, a proliferação de APIs continuará a aumentar. O diretório Programable Web API viu um rápido aumento nas APIs publicadas em 2019 (centenas de novas APIs todos os meses). Esperamos que esse número continue aumentando, especialmente à medida que setores da indústria pressionam pela interoperabilidade baseada em API. A PSD2 (Diretiva Revisada de Serviços de Pagamento) da UE é um bom exemplo.

A segurança deve acompanhar o ritmo do pipeline de CI/CD. Os gateways de API que oferecem suporte a “controle de versão” permitem que os provedores de API adicionem continuamente novas funcionalidades e recursos sem interromper as integrações de clientes existentes. Isso é ótimo para CI/CD, no entanto, se a segurança retardar o processo, isso pode impactar diretamente os negócios e anular os benefícios do desenvolvimento ágil. Para acompanhar esses ambientes, os controles de segurança devem ser automatizados e integrados ao processo de lançamento de forma que a equipe de segurança possa aplicar controles comuns de forma centralizada, sem afetar os ciclos de lançamento.

A propriedade de segurança de API discrepante é um fator. As APIs são usadas em toda a organização: aplicativos móveis, microsserviços, na nuvem e no local. A visibilidade e os recursos de inventário de API em toda a organização ainda estão em desenvolvimento, deixando algumas APIs fora do escopo da equipe de segurança. A liderança interorganizacional e as partes interessadas devem ser educadas sobre como aplicar práticas e controles de segurança consistentes.

A segurança do gateway de API é imatura. Há muitos fornecedores posicionando gateways de API hoje — empresas como MuleSoft, Google (Apigee), Kong, Istio e Oracle. Eles fornecem conjuntos de recursos de gateway de API necessários, como controle de versão, roteamento, análise/medição e autenticação. Cada um deles tem seus próprios pontos fortes e valor agregado, no entanto, controles de segurança completos que protegem contra violações de acesso, injeções, DoS e explorações precisam ser implementados junto com outros serviços de gateway de segurança.
_____

Com o cenário definido, fique ligado no blog da próxima semana ( link adicionado aqui ), onde abordaremos o que você pode fazer para enfrentar os desafios descritos acima...