O NGINX App Protect traz segurança ao ecossistema de API

Nos últimos anos, as APIs se tornaram a abordagem de fato para construir a economia de aplicativos moderna. Essas interfaces de software se tornaram a maneira predominante de permitir que sistemas, aplicativos e dispositivos se comuniquem e compartilhem uma grande variedade de dados e funcionalidades. Em essência, as APIs se tornaram a moderna Rota da Seda para informações e realmente dão ao cliente o poder de desbloquear soluções que combinam as melhores ferramentas de vários fornecedores.

Das organizações pesquisadas no Relatório Anual de Benchmark de Conectividade da MuleSoft, 80% usam APIs públicas e/ou privadas. Os benefícios relatados incluem aumento de produtividade (54%), aumento de inovação (47%) e economia de custos (34%), entre outros. De acordo com a pesquisa, as APIs também geram receita significativa para as empresas que as publicam – em média 31% da receita total.

Mas nem tudo são flores. Uma pesquisa do F5 Labs descobriu que os incidentes de segurança de API no primeiro semestre de 2020 estavam a caminho de exceder o número de incidentes dos dois anos anteriores combinados. Um desafio significativo enfrentado pelas equipes de DevOps é que há muitas áreas de fraqueza em relação à segurança da API, desde uma completa falta de autenticação na frente dos endpoints da API até autenticação e autorização quebradas, até configurações básicas incorretas.

A questão agora é: como você protege todas as suas atividades de API? Neste blog, explicamos como uma abordagem de "segurança como código" centrada no NGINX App Protect é essencial para proteger suas APIs e se encaixa perfeitamente em seu pipeline de CI/CD, juntamente com soluções de outros fornecedores de segurança nos quais você confia.

As APIs atendem tanto funcionários quanto parceiros

Conforme rastreado pelo ProgrammableWeb , há mais de 20.000 APIs privadas, de parceiros e públicas em uso, habilitando os aplicativos nos quais confiamos todos os dias. A atração das APIs — e, por extensão, dos microsserviços baseados em contêineres nos quais as APIs são executadas ou com os quais se conectam — é que elas podem abrir seus recursos de software e dados para uma ampla gama de usuários, incluindo seus funcionários e todos os seus parceiros estratégicos e comerciais. (Naturalmente, essa abordagem também é atraente para equipes de DevOps, pois elas podem selecionar os melhores fornecedores para suas necessidades específicas.)

Por exemplo, muitas empresas aproveitam APIs privadas e de parceiros para habilitar o autoatendimento de TI; tornar os ativos de TI detectáveis e reutilizáveis permite que mais membros da organização façam mais sem depender do DevOps em todos os momentos. Quando feito corretamente, o autoatendimento de TI resulta em maior agilidade, maior velocidade de comercialização, soluções focadas no cliente envolvendo uma variedade de fornecedores, eficiência, inovação e maior margem de receita.

Essa dinâmica também existe no lado do desenvolvimento e da produção da equação: software em contêineres e APIs permitem que a equipe de DevOps interaja com uma ampla gama de parceiros. Isso inclui parceiros de gerenciamento de identidade e acesso (IAM), como Okta , AuthO e Microsoft , bem como parceiros de gerenciamento de ciclo de vida, como MuleSoft , Akana e Kong .

Segurança como código, política como proteção

Nos ambientes de CI/CD dinâmicos e acelerados de hoje, os desenvolvedores e as equipes de DevOps precisam de uma abordagem holística para proteger aplicativos da Web e APIs , com ferramentas de segurança de aplicativos que os ajudem a implementar soluções e lançar software de forma rápida e segura. As equipes precisam proteger seu código e, ao mesmo tempo, permanecerem firmemente integradas com os parceiros de gerenciamento de acesso e gerenciamento de ciclo de vida de sua escolha.

À medida que o DevOps se transformou em DevSecOps nos últimos anos, houve um impulso para implementar a segurança em si como código . Esta é simplesmente outra maneira de dizer que as empresas estão começando a reconhecer a necessidade de incorporar segurança em todos os aspectos de novos softwares, em vez de ver a segurança como algo que é adicionado depois que toda a codificação é feita. Isso inclui práticas como:

• Automatizar a segurança sempre que possível, incorporando-a diretamente no pipeline de CI/CD
• Construir a segurança como um guarda-corpo, não como um portão (ou seja, fornecer orientação e ferramentas em vez de apenas conceder ou negar acesso)
• Trabalhando com uma variedade de parceiros para garantir que as soluções de segurança sejam consistentes, centralizadas e disponíveis por meio de autoatendimento – para qualquer ambiente, incluindo ambientes distribuídos e em contêineres

“Segurança como código” significa que você incorpora segurança em todos os aspectos do novo software em vez de simplesmente adicioná-la no final.

Segurança avançada de API para infraestruturas de aplicativos modernos

A F5 é uma grande defensora da abordagem de segurança como código para tornar a segurança de aplicativos adaptável, escalável e confiável, e o NGINX App Protect desempenha um papel importante para tornar isso possível. O NGINX App Protect combina a segurança da API com recursos fundamentais do nosso Advanced Web Application Firewall (Advanced WAF) líder de mercado e proteção contra bots para ajudar o DevOps a:

• Integrar controles de segurança não disruptivos (conforme autorizado pela equipe de segurança) nos processos de automação e CI/CD
• Implante e gerencie controles de segurança de aplicativos em ambientes distribuídos, como contêineres e microsserviços
• Implementar controles de segurança econômicos sem impactar negativamente a velocidade de lançamento ou o desempenho do aplicativo

Com o NGINX App Protect, você implanta a segurança do aplicativo como um pacote de software leve que também é independente da infraestrutura subjacente. Dessa forma, o desenvolvedor de software pode utilizar políticas declarativas (“segurança como código”) para proteger tudo que entra e sai de um gateway de API ou outro controlador Ingress. Nesse modelo, mesmo que uma API não seja segura por padrão, a segurança com o NGINX App Protect pode ser aplicada em vários pontos, seja na entrada, em um pod do Kubernetes ou em todos os serviços.

Trabalhando com outros líderes do setor que são priorizados por nossos clientes e adotando os fornecedores e produtos já em uso pelas equipes de DevOps em todo o mundo, a F5 e a NGINX estão comprometidas em fornecer soluções de ponta para todo o ecossistema de aplicativos.

Conclusão

À medida que as APIs se tornam a nova Rota da Seda para compartilhamento de informações e possibilitam a conexão com seus usuários como nunca antes, o NGINX App Protect está aqui para defender seus aplicativos e dados de toda a gama de ameaças potenciais. O NGINX App Protect foi projetado para a maneira como você entrega aplicativos, incluindo a capacidade de integração estreita com o ecossistema do seu parceiro. Trabalhando perfeitamente em ambientes DevOps, esta solução líder do setor integra controles de segurança não disruptivos em todos os processos de automação DevOps e CI/CD para garantir que a segurança do aplicativo não seja adicionada como uma reflexão tardia ou envolvida como uma solução paliativa, mas seja incorporada desde o início.

Pronto para experimentar o NGINX App Protect? Comece hoje mesmo um teste gratuito de 30 dias ou entre em contato conosco para discutir seus casos de uso .