Démêler les défis de la sécurité des application à l'ère de la prolifération des API multicloud

Pour aider les développeurs d'applications et les équipes de sécurité à unir leurs forces pour relever avec succès les défis de sécurité des API, Google Cloud et F5 se sont réunis pour un événement webinaire spécial, Démêler les API : Lutter contre l’étalement urbain et sécuriser votre écosystème numérique . La conversation a révélé plusieurs réponses pertinentes et exploitables aux questions difficiles que les organisations se posent – ou devraient se poser – sur la prolifération, la gestion et la sécurité des API.

Si vous n'avez pas pu assister à la session en direct, ne vous inquiétez pas ; vous pouvez découvrir quelques-uns des moments forts dans cet article de blog et également accéder à l' enregistrement à la demande .

L'événement, modéré par Jess Steinbach d'ActualTech Media, comprenait également d'éminents présentateurs Joshua Haslett , responsable des partenaires technologiques stratégiques chez Google Cloud, Ian Dinno , responsable senior du marketing produit chez F5, et David Remington , directeur de la gestion des produits chez F5. Ensemble, ils se sont assis sur la sellette de la sécurité des API pour fournir aux participants des conseils d'experts et des conseils pratiques sur l'adoption d'une stratégie de sécurité des applications et des API plus holistique dans l'ensemble de l'organisation.

L’un des principaux points évoqués au cours de la discussion tournait autour de la recherche de la bonne voie vers une approche holistique, qui est devenue encore plus difficile à aborder à mesure que le nombre d’API utilisées dans l’écosystème application d’une organisation continue de croître à un rythme sans précédent. Comme le souligne l’une des questions des participants, les défis en matière de sécurité, de gouvernance et d’efficacité introduits par la prolifération des API ne sont qu’aggravés par l’adoption croissante de l’infrastructure cloud hybride et de la multitude de microservices qui font fonctionner les processus commerciaux multi-applications complexes.

Pour faire face aux risques associés à la prolifération des API (violation de données, prise de contrôle de compte et fraude, par exemple), le programme de sécurité des application d'une organisation doit inclure des technologies de protection des API qui offrent une découverte et une surveillance continues, une protection d'exécution et une gestion de la posture en temps réel. Le programme doit également être soutenu par un processus qui maintient le pipeline CI/CD en mouvement en intégrant facilement les méthodologies de sécurité et les tests de code plus tôt dans le cycle de vie du développement logiciel d'une manière qui ne retarde pas les versions, n'a pas d'impact négatif sur l'expérience utilisateur ou n'introduit pas de temps d'arrêt de application .

Il y a de fortes chances que, lorsque vous pensez que votre équipe a une image appropriée des API en cours d'exécution et de l'endroit où elles s'exécutent, une nouvelle application ou un nouveau point de terminaison d'API soit ajouté, ou que des mises à jour soient apportées à un point de terminaison existant. Il peut s’agir d’un nouveau service tiers ou de plusieurs API nouvelles ou mises à jour qui peuvent ne pas être visibles pour les équipes responsables de la sécurité et qui ajoutent de nouveaux points d’entrée vulnérables et une exposition pour une organisation. C'est une bataille sans fin pour rester au courant de cette prolifération, ce qui rend encore plus difficile pour les équipes de sécurité d'évaluer et de protéger ces services individuellement et dans le cadre d'une application pleinement fonctionnelle.

S'exprimant sur le risque accru du paysage des menaces concernant les complexités croissantes de l' infrastructure applicative, Ian et David ont adopté une position ferme sur la manière dont l'IA et l'apprentissage automatique auront un rôle important à jouer dans la sécurité des API , à la fois dans la portée et l'échelle des attaques et dans les protections requises.

Un autre facteur critique dont le panel a discuté lors du webinaire est la nécessité d’obtenir une visibilité sur l’état de la sécurité des API. Un participant a par exemple décrit au panel comment il a récemment commencé à constater des problèmes de performances et d’autres perturbations dans certains de ses systèmes et applications. Cependant, ils ne pouvaient pas facilement déterminer s’ils voyaient des signes d’une prolifération d’API exploitée par des attaques actives. Cela semble être un problème courant auquel de nombreuses équipes sont confrontées.