Desenredando los desafíos de seguridad de las aplicação en la era de la proliferación de API en múltiples nubes

Para ayudar a los desarrolladores de aplicaciones y a los equipos de seguridad a unir fuerzas para abordar con éxito los desafíos de seguridad de las API, Google Cloud y F5 se unieron para un seminario web especial, Desenredando las API: Cómo abordar la expansión urbana y proteger su ecosistema digital . La conversación reveló varias respuestas relevantes y prácticas a las preguntas más importantes que las organizaciones tienen (o deberían tener) sobre la proliferación, la gestión y la seguridad de las API.

Si no pudiste asistir a la sesión en vivo, no te preocupes; puedes ver algunos de los momentos destacados en esta publicación del blog y también acceder a la grabación a pedido .

El evento, moderado por Jess Steinbach de ActualTech Media, también incluyó a los distinguidos presentadores Joshua Haslett , gerente de socios de tecnología estratégica en Google Cloud, Ian Dinno , gerente sénior de marketing de productos en F5, y David Remington , director de gestión de productos en F5. Juntos, se sentaron directamente en la silla de seguridad de API para brindarles a los asistentes asesoramiento experto y orientación práctica sobre cómo adoptar una estrategia de seguridad de API y aplicaciones más integral en toda la organización.

Uno de los puntos principales tratados durante el debate giró en torno a encontrar el camino correcto hacia un enfoque holístico, algo que se ha vuelto aún más difícil de abordar a medida que el número de API utilizadas en todo el ecosistema de aplicação de una organización continúa creciendo a un ritmo sin precedentes. Como lo destacó una de las preguntas de los asistentes, los desafíos de seguridad, gobernanza y eficiencia que introduce la proliferación de API solo se ven agravados por la mayor adopción de la infraestructura de nube híbrida y la gran cantidad de microservicios que hacen que los procesos comerciales complejos de múltiples aplicaciones funcionen.

Para abordar los riesgos asociados con la proliferación de API (como violaciones de datos, apropiación de cuentas y fraude), el programa de seguridad de aplicação de una organización debe incluir tecnologías de protección de API que brinden descubrimiento y monitoreo continuos, protección en tiempo de ejecución y administración de la postura en tiempo real. El programa también debe estar respaldado por un proceso que mantenga el flujo de trabajo de CI/CD en movimiento integrando fácilmente metodologías de seguridad y pruebas de código en las primeras etapas del ciclo de vida del desarrollo de software, de manera que no demore los lanzamientos, afecte negativamente la experiencia del usuario o introduzca tiempos de inactividad en las aplicação .

Lo más probable es que, cuando crea que su equipo tiene una idea adecuada de qué API se están ejecutando y dónde se están ejecutando, se agregue una nueva aplicación o punto final de API, o se realicen actualizaciones a uno existente. Podría tratarse de un nuevo servicio de terceros o de varias API nuevas o actualizadas que pueden no ser visibles para los equipos responsables de la seguridad y que agregan nuevos puntos de entrada vulnerables y exposición para una organización. Es una batalla interminable para mantenerse al tanto de la expansión, lo que hace que sea aún más difícil para los equipos de seguridad evaluar y proteger estos servicios individualmente y como parte de una aplicação en pleno funcionamiento.

Al hablar sobre el aumento del riesgo del panorama de amenazas relacionado con las crecientes complejidades de la infraestructura de aplicaciones, Ian y David adoptaron una posición firme sobre cómo la IA y el aprendizaje automático tendrán un papel importante que desempeñar en la seguridad de las API , tanto en el alcance y la escala de los ataques como en las protecciones requeridas.

Otro factor crítico que el panel discutió durante el seminario web es la necesidad de ganar visibilidad sobre el estado de la seguridad de las API. Un asistente, por ejemplo, describió al panel cómo recientemente comenzaron a ver problemas de rendimiento y otras interrupciones en algunos de sus sistemas y aplicações. Sin embargo, no pudieron determinar fácilmente si estaban viendo señales de que la proliferación de API estaba siendo explotada por ataques activos. Este parece ser un problema común con el que luchan muchos equipos.