Proteger el negocio implica proteger las API.
Las API crean valor a través de su capacidad de abstracción en la capa de aplicação . Por ejemplo, el uso de una API para abstraer el acceso a sistemas y datos internos proporciona una manera de simplificar y automatizar el acceso a los sistemas de TI heredados. Las API también son el medio por el cual se logra la integración en los ecosistemas y con los socios. Las API también son hoy en día el principal medio de automatización y orquestación, lo que las convierte en una de las tecnologías clave de una trayectoria de transformación digital exitosa. Por ello, las API se han vuelto estratégicas para las empresas como fuente de innovación, ejecución eficiente y monetización.
MONETIZACIÓN
En una economía digital, todo lo que pueda generar ingresos eventualmente será monetizado. Esto es especialmente cierto en el caso de las API, y las investigaciones indican que la economía de las API es sólida.
- Más de una de cada diez (11%) de las empresas generan más de la mitad de sus ingresos a partir de API e implementaciones relacionadas con API. ( Valor comercial de las API )
- Un asombroso 59% de las empresas generan entre el 26% y el 50% de los ingresos de su organización a partir de las API. ( Valor comercial de las API )
Integración
Las API han suplantado a los ESB y a los portales web como medio principal de integración entre empresas. La dependencia de las API como componente estratégico para el éxito empresarial en la economía digital está bien documentada.
Más del 60% está de acuerdo: la integración de API es fundamental para su estrategia comercial. ( Estado de la integración de API 2018 )
o Más del 50% de toda la colaboración B2B se realizará a través de la integración de API. ( Estado de la integración de API 2018 )
o El 51% cita la “asociación con organizaciones externas” como un factor principal en su decisión de desarrollar API.
( Estado de la API 2019 )
La dependencia de las arquitecturas de aplicação modernas y empresariales, como los microservicios, en las API las convierte en un objetivo especialmente atractivo para los atacantes que comprenden el valor de obtener acceso (o control) sobre estos puntos finales. Este riesgo significa que se debe prestar más atención a la capa API, particularmente a la protección del acceso a las funciones comerciales que representan.
La autenticación no es opcional
La seguridad de las API comienza con el acceso. Y eso significa autenticación. Las API abiertas no deberían ser una descripción de un modelo de acceso API. Es un atributo que significa que la API está bien documentada y sigue un estándar. La invocación de API siempre debe requerir autenticación y, de manera óptima, autorización.
Hay varias opciones disponibles y antes de elegir debes informarte de las capacidades y limitaciones de cada una.
- BIEN: HTTP básico
La autenticación básica HTTP es la predeterminada. Es la forma más sencilla y común de imponer la autenticación del tráfico basado en HTTP, como la mayoría de las API actuales. La desventaja de la autenticación básica es que requiere credenciales y, como todos sabemos, las credenciales a menudo se comparten entre múltiples aplicações. Las credenciales robadas (o expuestas) son cada vez más el camino que toman los atacantes para obtener acceso a los sistemas. La fortaleza de las contraseñas y dónde y cómo se almacenan también influyen en la seguridad general de este método. Es mejor que nada. - MEJOR: Claves API
Las claves API son un paso por encima de la autenticación básica HTTP porque son emitidas (y se supone, rastreadas) por el emisor. Las claves API se distribuyen y utilizan para diversos fines más allá de la seguridad, incluida la medición y la facturación. Sin embargo, generalmente son estáticos, lo que significa que podrían ser extraídos y utilizados por un tercero para hacerse pasar por un usuario legítimo. Compartir claves también es un problema real. Al igual que las credenciales, las claves pueden ser compartidas por compañeros de trabajo y familiares. Y cuanto más difundidos estén, más probable es que los recoja y los utilice alguien con intenciones maliciosas. - MEJOR: Tokens que expiran
El uso de tokens se ha vuelto más común a medida que ha crecido el número de API. Los dos favoritos hoy en día son los tokens OAuth (utilizados exclusivamente para API) y JWT (JSON Web Tokens). El uso de JSON como formato estándar para intercambiar reclamos sobre acceso a recursos basados en HTTP y su aplicabilidad fuera de las API ha llevado a JWT a convertirse en uno de los mecanismos más frecuentes para la autenticación y autorización en la actualidad. Incluso tiene un RFC (7519) . Al igual que su primo XML, SAML, se emite una afirmación JSON que describe el alcance de acceso y el rol del usuario autenticado. Es altamente portátil y, lo que es más importante, viene con una fecha y hora de vencimiento, por lo que no se puede utilizar fácilmente para suplantar a un usuario autenticado. La desventaja es que los tokens requieren más trabajo para integrarse y no siempre cuentan con soporte nativo. Esto puede dar lugar a errores de implementación que, de forma involuntaria, introducen el potencial de explotación.
La seguridad de la API se puede implementar directamente en una aplicação o, mejor, en un API Gateway. Una puerta de enlace API puede proteger aún más las API con capacidades como limitación de velocidad (para evitar ataques de denegación de servicio accidentales o intencionales) y autorización. La autorización limita el acceso a las API al permitir el acceso a llamadas API específicas solo a clientes específicos, generalmente identificados por tokens o claves API. Una puerta de enlace API también puede limitar los métodos HTTP utilizados y registrar los intentos de abusar de otros métodos para que usted esté al tanto de los intentos de ataques.
Nuestra dependencia de las aplicações significa que las API de las que dependen también necesitan protección. Si aún no has comenzado con lo básico, es hora de empezar. Si desea proteger su negocio, necesitará API seguras.