A transformação de aplicativos monolíticos em ecossistemas de microsserviços tornou as APIs um ponto de controle estratégico e crítico. Enquanto os firewalls de aplicativos da Web (WAFs) têm sido uma ferramenta primária para proteger aplicativos baseados em HTTP, as APIs não têm controles equivalentes para conformidade, segurança e auditoria adequados. À medida que o tráfego de API e não humano ultrapassa o tráfego de aplicativos da web, os controles de segurança também precisam avançar. Os líderes de segurança devem usar as tendências emergentes como uma oportunidade para aprender mais sobre a proteção de APIs e como um meio de impulsionar melhorias na segurança de APIs dentro de suas próprias organizações.
A explosão de APIs é generalizada – A proliferação de APIs continuará. Além disso, pode não ser apenas a equipe de DevOps que está implementando APIs. Outras partes da organização, como a equipe de marketing, podem publicar suas próprias APIs ou até mesmo usar APIs de terceiros como parte dos esforços de marketing. Para a equipe de segurança, um inventário preciso das APIs em uso é um primeiro passo fundamental.
A colaboração é fundamental – As equipes de segurança precisam fazer parceria com o DevOps para projetar e implementar controles de segurança de API adequados. O DevOps quer evoluir rápido. As equipes de segurança precisam entender os movimentos do DevOps e instituir controles de segurança que possam ser gerenciados centralmente e automatizados nos processos de CI/CD.
A segurança do gateway de API está atrasada – Os gateways de API atuais geralmente se concentram em autenticação, controle de versão e análise (para medição e cobrança). Embora esses controles de segurança sejam importantes, eles não fornecem proteção total para APIs. É necessário ter segurança de API suficiente para defender contra ataques a serviços de autenticação, DoS de camada 7, exfiltração de dados, explorações, injeções e anomalias.
As APIs estão no centro da plataforma de negócios digitais de hoje como pontos cruciais de controle. As APIs geralmente são projetadas para serem expostas externamente e acessadas por parceiros de negócios, clientes e microsserviços. Assim como os aplicativos da web, as APIs podem ser uma porta de entrada para dados confidenciais que precisam ser protegidos adequadamente. Incidentes recentes relacionados à API em organizações como Venmo, Facebook e Salesforce podem servir como lições sobre a importância da segurança da API. O F5 Labs destaca aqui outros contratempos de API dignos de nota.
Como acontece com muitos avanços tecnológicos, a segurança geralmente fica para trás. A segurança da API não é uma exceção a essa regra. Enquanto a economia orientada por API avança, os profissionais de segurança podem ficar sobrecarregados com o volume, o ritmo e a complexidade de abordar a segurança de API.
A proliferação em massa de APIs continuará. À medida que os aplicativos se tornam o ponto focal dos negócios, a proliferação de APIs continuará a aumentar. O diretório Programable Web API viu um rápido aumento nas APIs publicadas em 2019 (centenas de novas APIs todos os meses). Esperamos que esse número continue aumentando, especialmente à medida que setores da indústria pressionam pela interoperabilidade baseada em API. A PSD2 (Diretiva Revisada de Serviços de Pagamento) da UE é um bom exemplo.
A segurança deve acompanhar o ritmo do pipeline de CI/CD. Os gateways de API que oferecem suporte a “controle de versão” permitem que os provedores de API adicionem continuamente novas funcionalidades e recursos sem interromper as integrações de clientes existentes. Isso é ótimo para CI/CD, no entanto, se a segurança retardar o processo, isso pode impactar diretamente os negócios e anular os benefícios do desenvolvimento ágil. Para acompanhar esses ambientes, os controles de segurança devem ser automatizados e integrados ao processo de lançamento de forma que a equipe de segurança possa aplicar controles comuns de forma centralizada, sem afetar os ciclos de lançamento.
A propriedade de segurança de API discrepante é um fator. As APIs são usadas em toda a organização: aplicativos móveis, microsserviços, na nuvem e no local. A visibilidade e os recursos de inventário de API em toda a organização ainda estão em desenvolvimento, deixando algumas APIs fora do escopo da equipe de segurança. A liderança interorganizacional e as partes interessadas devem ser educadas sobre como aplicar práticas e controles de segurança consistentes.
A segurança do gateway de API é imatura. Há muitos fornecedores posicionando gateways de API hoje — empresas como MuleSoft, Google (Apigee), Kong, Istio e Oracle. Eles fornecem conjuntos de recursos de gateway de API necessários, como controle de versão, roteamento, análise/medição e autenticação. Cada um deles tem seus próprios pontos fortes e valor agregado, no entanto, controles de segurança completos que protegem contra violações de acesso, injeções, DoS e explorações precisam ser implementados junto com outros serviços de gateway de segurança.
_____
Com o cenário definido, fique ligado no blog da próxima semana ( link adicionado aqui ), onde abordaremos o que você pode fazer para enfrentar os desafios descritos acima...