Ahora que comprende la importancia de la seguridad de la API…

(Para ponerse al día rápidamente sobre el ascenso de la seguridad de API como un tema actual en la industria, consulte esta publicación de blog reciente . La siguiente guía retoma este tema y ayuda a describir lo que puede hacer al respecto).

Complemente su API Gateway con un Security Gateway

El crecimiento explosivo de las API está impulsando nuevos mercados tanto para las puertas de enlace de API como para la seguridad de API. Si bien estos pueden consolidarse en el futuro, hoy puede proteger su puerta de enlace API con un firewall de aplicação web (WAF) capaz de mitigar las amenazas. Los WAF pueden bloquear el tráfico malicioso conocido antes de que llegue a su puerta de enlace API mediante funciones listas para usar, como inteligencia de IP, firmas de ataque, detección de bots maliciosos y conjuntos de reglas OWASP Top 10. Los WAF más maduros, como F5 Advanced WAF , tienen capacidades dedicadas y pueden personalizar políticas de seguridad para proteger múltiples API dentro de un solo dominio, no solo un conjunto de reglas globales por dominio.

Al abordar las necesidades presentes y emergentes, hay tres puntos que recordar:

1. Las puertas de enlace API se han convertido en puntos de control estratégicos. A medida que las transiciones tecnológicas generan aún más tráfico no humano, la API se convierte en el punto focal del negocio. Las puertas de enlace API se ubican en el borde y son el punto de ingreso a todo el tráfico API. La seguridad de la API requiere capacidades más completas de contexto, análisis, identificación de llamadas y correlación para ser efectiva.
   
   
2. La brecha entre las ofertas de API gateway y de seguridad de API es considerable. Los proveedores de seguridad de aplicaciones tradicionales carecen de las funciones mínimas de puerta de enlace de API, como control de versiones, orquestación y medición. La mayoría de las soluciones de puerta de enlace API carecen de los controles de seguridad estándar disponibles en la mayoría de las soluciones WAF. Necesitarás ambos para una funcionalidad y seguridad adecuadas.
   
   
3. Esta brecha se puede solucionar con una puerta de enlace de seguridad. La incorporación de un Advanced WAF con capacidades de protección de API puede ayudar a superar las deficiencias de seguridad de la mayoría de las puertas de enlace de API. F5 Advanced WAF ha ampliado sus capacidades de seguridad para incluir API y microservicios. Si bien esto no puede reemplazar la funcionalidad extendida de una puerta de enlace API, puede mejorar y reforzar los controles de seguridad comunes. El Advanced WAF de F5 también admite API declarativas para que la política de seguridad de API se pueda orquestar y automatizar para entornos ágiles.
   

Las puertas de enlace de seguridad pueden compensar las fallas de seguridad, pero no sea perezoso

A medida que la tecnología madure, las puertas de enlace API ayudarán a abordar preocupaciones adicionales sobre seguridad de API, pero aún no hemos llegado a ese punto. La planificación y las mejores prácticas serán de gran ayuda para mantener sus API adecuadamente protegidas en el corto plazo. Para proteger eficazmente sus API, no olvide:

1. Utilice una puerta de enlace de seguridad en todo momento. No permita que los clientes tengan acceso directo sin autenticación a su API. Obligue a todo el tráfico a pasar por una puerta de enlace de seguridad o un proxy que pueda bloquear el tráfico malicioso conocido. Aproveche un WAF existente si tiene uno. Incluso un WAF básico puede funcionar en caso de urgencia mientras considera una solución más integral.
   
   
2. Mantenlo simple Tener DevOps y SecOps acuerdan un conjunto de estándares (por ejemplo, OpenAPI/Swagger) para desarrollar API. Los estándares le ayudarán a documentar y probar sus API. OpenAPI 3.0 tiene componentes de seguridad dedicados que pueden reutilizarse para ayudar con la implementación de un diseño seguro. El uso de estándares OpenAPI también permite el uso de herramientas de auditoría y conformidad como Crunch42, para automatizar el diseño y las pruebas de seguridad.
   
   
3. Definir requisitos de seguridad . El alcance de los requisitos de la API generalmente incluye solo la funcionalidad deseada para la API, es decir, definir qué capacidades debe realizar la API. Los requisitos de la API también deben incluir requisitos de seguridad (lo que la API NO debería poder hacer). Con la seguridad como parte de las especificaciones de diseño, la seguridad se convierte en parte de las pruebas funcionales de la API.
   
   
4. Crear modelos de amenazas para servicios API : clientes y servidores API.  La realización de modelos de amenazas del sistema propuesto ayudará a identificar activos/componentes clave y categorías de amenazas. Luego se pueden agregar requisitos de diseño de seguridad para mitigar las amenazas identificadas. Asegúrese de que los controles estén alineados con el modelo de riesgo deseado para la API y la aplicación.
   
   
5. Descargue la autenticación y autorización. Utilice la puerta de enlace API para la autenticación y autorización modernas. Todas las API deben tener autenticación como parte de la implementación. No es necesario incorporar esto a la aplicación (y no es una buena práctica, ya que reenviar tráfico no autenticado directamente a la API puede dejarla vulnerable a ataques). Hay varias formas de autenticación que se pueden utilizar, y un enfoque basado en riesgos puede ayudar en su selección. Oauth 2.0 generalmente se considera la mejor opción para las API REST. F5 BIG-IP APM es una buena solución para implementar estos controles.
   
   
6. Cifrar todo No hay excusas para no utilizar el cifrado. SSL/TLS se está acercando al 100% para todo el tráfico de Internet. Todo el tráfico de API pública debe estar cifrado. Si es posible, utilice claves efímeras para mayor seguridad (¿recuerda Heartbleed?). Si su puerta de enlace API no puede manejar la carga de trabajo criptográfica debido al rendimiento o el precio, considere descargar la carga de trabajo a un sistema dedicado como F5 SSL Orchestrator .
   
   
7. Desalentar la “creatividad” de los desarrolladores en torno a la seguridad . Es difícil implementar medidas correctas de seguridad; la comunidad de seguridad ha estado haciéndolo durante décadas, pero aún seguimos encontrando fallas. Aunque sus desarrolladores puedan ser brillantes, tenga mucho cuidado si inventan controles de seguridad personalizados, como un nuevo modelo de cifrado. Para evitar este tipo de “creatividad” en materia de seguridad, asegúrese de proporcionar a DevOps controles de seguridad básicos estandarizados y bien examinados. Si es necesario implementar controles de seguridad específicamente diseñados, se debe consultar al equipo de SecOps.

El uso de API tiene el potencial de ser transformador al permitir nuevos modelos de negocio y flujos de ingresos. Sin embargo, si se implementan sin las protecciones adecuadas, las API también tienen el potencial de perturbar y poner en riesgo a las empresas. Si bien la seguridad de las API aún puede considerarse un área tecnológica algo incipiente, las prácticas descritas anteriormente pueden ayudar a abordar las brechas de seguridad de las API actuales a medida que las soluciones circundantes maduran.