Les passerelles API sont les nouveaux points de contrôle stratégiques (mais manquent toujours de sécurité)

La transformation des applications monolithiques en écosystèmes de microservices a fait des API un point de contrôle stratégique et critique. Alors que les pare-feu d’applications Web (WAF) ont été un outil principal pour protéger les applications basées sur HTTP, les API manquaient de contrôles équivalents pour une conformité, une sécurité et un audit adéquats. Alors que le trafic API et non humain dépasse le trafic des applications Web, les contrôles de sécurité doivent également progresser. Les responsables de la sécurité devraient utiliser les tendances émergentes comme une opportunité d’en apprendre davantage sur la protection des API et comme moyen d’améliorer la sécurité des API au sein de leur propre organisation.

L’explosion des API est omniprésente – La prolifération des API va se poursuivre. De plus, il se peut que ce ne soit pas seulement l’équipe DevOps qui propose des API. D’autres parties de l’organisation, comme l’équipe marketing, peuvent publier leurs propres API ou même utiliser des API tierces dans le cadre de leurs efforts marketing. Pour l’équipe de sécurité, un inventaire précis des API utilisées constitue une première étape essentielle.

La collaboration est essentielle – Les équipes de sécurité doivent s’associer à DevOps pour concevoir et mettre en œuvre des contrôles de sécurité API adéquats. DevOps veut évoluer rapidement. Les équipes de sécurité doivent comprendre les mouvements DevOps et mettre en place des contrôles de sécurité qui peuvent être gérés de manière centralisée et automatisés dans les processus CI/CD.

La sécurité des passerelles API est à la traîne – Les passerelles API actuelles se concentrent généralement sur l'authentification, le contrôle de version et l'analyse (pour le comptage et la facturation). Bien que ces contrôles de sécurité soient importants, ils n’offrent pas une protection complète des API. Une sécurité API suffisante doit permettre de se défendre contre les attaques sur les services d’authentification, les attaques DoS de couche 7, l’exfiltration de données, les exploits, les injections et les anomalies.

Directement dans la ligne de mire, les API restent vulnérables

Les API sont au cœur de la plateforme commerciale numérique d’aujourd’hui en tant que points de contrôle cruciaux. Les API sont généralement conçues pour être exposées en externe et accessibles par des partenaires commerciaux, des clients et des microservices. Tout comme les applications Web, les API peuvent être une porte d’entrée vers des données sensibles qui doivent être correctement protégées. Les incidents récents liés aux API dans des organisations telles que Venmo, Facebook et Salesforce peuvent servir de leçons sur l’importance de la sécurité des API. F5 Labs met en évidence d'autres incidents d'API à noter ici .

Comme c’est souvent le cas en matière de progrès technologiques, la sécurité est souvent à la traîne. La sécurité des API ne fait pas exception à cette règle. Alors que l’économie axée sur les API se développe, les professionnels de la sécurité peuvent être submergés par le volume, le rythme et la complexité de la gestion de la sécurité des API.

La prolifération massive des API va se poursuivre. Les applications devenant le point central des entreprises, la prolifération des API va continuer à augmenter. Le répertoire des API Web programmables a connu une augmentation rapide des API publiées en 2019 (des centaines de nouvelles API chaque mois). Nous nous attendons à ce que ce chiffre continue d’augmenter, en particulier à mesure que les secteurs industriels poussent vers une interopérabilité basée sur les API. La DSP2 (directive révisée sur les services de paiement) de l’UE en est un bon exemple.

La sécurité doit suivre le rythme du pipeline CI/CD. Les passerelles API qui prennent en charge le « versioning » permettent aux fournisseurs d’API d’ajouter en permanence de nouvelles fonctionnalités sans interrompre les intégrations client existantes. C'est une excellente solution pour le CI/CD, mais si la sécurité ralentit le processus, cela peut avoir un impact direct sur l'entreprise et annuler les avantages du développement agile. Pour suivre le rythme de ces environnements, les contrôles de sécurité doivent être automatisés et intégrés au processus de publication de manière à ce que l'équipe de sécurité puisse appliquer de manière centralisée les contrôles communs sans impacter les cycles de publication.

La propriété disparate de la sécurité des API est un facteur. Les API sont utilisées dans toute l’organisation : applications mobiles, microservices, dans le cloud et sur site. Les capacités de visibilité et d’inventaire des API dans l’ensemble de l’organisation sont encore en développement, laissant certaines API hors de portée de l’équipe de sécurité. Les dirigeants et les parties prenantes interorganisationnels doivent être formés à l’application de pratiques et de contrôles de sécurité cohérents.

La sécurité de la passerelle API est immature. De nombreux fournisseurs positionnent aujourd’hui des passerelles API, notamment des entreprises comme MuleSoft, Google (Apigee), Kong, Istio et Oracle. Ils fournissent les ensembles de fonctionnalités de passerelle API requis, tels que le contrôle de version, le routage, l'analyse/la mesure et l'authentification. Chacun d'entre eux possède ses propres atouts et sa propre valeur ajoutée, mais des contrôles de sécurité complets protégeant contre les violations d'accès, les injections, les attaques par déni de service et les exploits doivent être mis en œuvre avec d'autres services de passerelle de sécurité.
_____

Maintenant que le décor est planté, restez à l'écoute pour un blog la semaine prochaine ( lien ajouté ici ) où nous plongerons dans ce que vous pouvez faire pour relever les défis décrits ci-dessus…