Agora que você entende o quanto é importante a segurança da API...

(Para uma rápida atualização sobre a ascensão da segurança de API como um tópico atual do setor, leia esta postagem recente do blog . As orientações abaixo abordam esse ponto e ajudam a descrever o que você pode fazer a respeito.)

Complemente seu API Gateway com um Security Gateway

O crescimento explosivo das APIs está gerando novos mercados para gateways de API e segurança de API. Embora isso possa se consolidar no futuro, hoje você pode equipar seu gateway de API com um firewall de aplicativo da Web (WAF) capaz de mitigar ameaças. Os WAFs podem bloquear tráfego ruim conhecido antes que ele chegue ao seu gateway de API usando recursos prontos para uso, como inteligência de IP, assinaturas de ataque, detecção de bots maliciosos e conjuntos de regras OWASP Top 10. WAFs mais maduros, como o F5 Advanced WAF , têm recursos dedicados e podem personalizar políticas de segurança para proteger várias APIs em um único domínio, não apenas um conjunto de regras globais por domínio.

Ao abordar as necessidades presentes e emergentes, aqui estão três itens a serem lembrados:

1. Os gateways de API se tornaram pontos de controle estratégicos. À medida que as transições tecnológicas estimulam ainda mais tráfego não humano, a API se torna o ponto focal do negócio. Os gateways de API ficam na borda e são o ponto de entrada para todo o tráfego de API. A segurança da API requer contexto mais rico, análises, identificação de chamadas e recursos de correlação para ser eficaz.
   
   
2. A lacuna entre o gateway de API e as ofertas de segurança de API é considerável. Os fornecedores tradicionais de segurança de aplicativos não possuem os recursos mínimos de gateway de API, como controle de versão, orquestração e medição. A maioria das soluções de gateway de API não possui os controles de segurança padrão disponíveis na maioria das soluções WAF. Você precisará de ambos para funcionalidade e segurança adequadas.
   
   
3. Essa lacuna pode ser resolvida com um gateway de segurança. A adição de um WAF avançado com recursos de proteção de API pode ajudar a superar as deficiências de segurança da maioria dos gateways de API. O F5 Advanced WAF ampliou seus recursos de segurança para incluir APIs e microsserviços. Embora isso não possa substituir a funcionalidade estendida de um gateway de API, pode melhorar e aplicar controles de segurança comuns. O F5 Advanced WAF também oferece suporte a APIs declarativas para que a política de segurança da API possa ser orquestrada e automatizada para ambientes ágeis.
   

Gateways de segurança podem compensar falhas de segurança, mas não seja preguiçoso

À medida que a tecnologia amadurece, os gateways de API ajudarão a resolver preocupações adicionais de segurança de API, mas ainda não chegamos lá. O planejamento e as melhores práticas ajudarão muito a manter suas APIs adequadamente protegidas no curto prazo. Para ser eficaz na proteção de suas APIs, não se esqueça de:

1. Use um gateway de segurança sempre. Não permita que clientes tenham acesso direto não autenticado à sua API. Force todo o tráfego por meio de um gateway de segurança ou proxy que pode descartar tráfego ruim conhecido. Aproveite um WAF existente, se você tiver um. Até mesmo um WAF básico pode ser útil enquanto você considera uma solução mais abrangente.
   
   
2. Mantenha a simplicidade. Ter DevOps e SecOps concordam com um conjunto de padrões (por exemplo, OpenAPI/Swagger) para desenvolver APIs. Os padrões ajudarão você a documentar e testar suas APIs. O OpenAPI 3.0 tem componentes de segurança dedicados que podem ser reutilizados para ajudar na implementação de design seguro. O uso de padrões OpenAPI também permite o uso de ferramentas de auditoria e conformidade, como o Crunch42, para automatizar testes de design e segurança.
   
   
3. Definir requisitos de segurança . O escopo dos requisitos da API geralmente inclui apenas a funcionalidade desejada para a API, ou seja, definir quais recursos a API deve oferecer. Os requisitos da API também devem incluir requisitos de segurança (o que a API NÃO deve ser capaz de fazer). Com a segurança como parte das especificações de design, a segurança se torna parte do teste funcional da API.
   
   
4. Crie modelos de ameaças para serviços de API – clientes e servidores de API.  A execução da modelagem de ameaças do sistema proposto ajudará a identificar os principais ativos/componentes e categorias de ameaças. Requisitos de design de segurança podem então ser adicionados para mitigar as ameaças identificadas. Garanta que os controles estejam alinhados com um modelo de risco desejado para a API e o aplicativo.
   
   
5. Descarregue autenticação e autorização. Utilize o gateway de API para autenticação e autorização modernas. Todas as APIs precisam ter autenticação como parte da implantação. Não há necessidade de criar isso no próprio aplicativo (e não é uma prática recomendada, pois encaminhar tráfego não autenticado diretamente para a API pode deixá-la vulnerável a ataques). Existem várias formas de autenticação que podem ser utilizadas, e uma abordagem baseada em risco pode ajudar na sua seleção. O Oauth 2.0 é geralmente considerado a melhor opção para APIs REST. O F5 BIG-IP APM é uma boa solução para implementar esses controles.
   
   
6. Criptografe tudo. Não há desculpas para não usar criptografia. SSL/TLS está se aproximando de 100% para todo o tráfego da internet. Todo o tráfego da API pública precisa ser criptografado. Se possível, use chaves efêmeras para maior segurança (lembra do Heartbleed?). Se o seu gateway de API não puder lidar com a carga de trabalho criptográfica devido ao desempenho ou preço, considere descarregar a carga de trabalho para um sistema dedicado, como o F5 SSL Orchestrator .
   
   
7. Desencorajar a “criatividade” do desenvolvedor em relação à segurança . É difícil fazer a segurança corretamente; a comunidade de segurança faz isso há décadas, mas ainda continuamos encontrando falhas. Embora seus desenvolvedores possam ser brilhantes, tenha muito cuidado com eles inventando controles de segurança personalizados, como um novo modelo de criptografia. Para evitar “criatividade” de segurança desse tipo, certifique-se de fornecer ao DevOps controles de segurança básicos padronizados e bem examinados. Se houver necessidade de controles de segurança especificamente adaptados, a equipe de SecOps deve ser consultada.

O uso de APIs tem o potencial de ser transformador ao permitir novos modelos de negócios e fluxos de receita. No entanto, implementadas sem proteções adequadas, as APIs também têm o potencial de interromper e colocar os negócios em risco. Embora a segurança de API ainda possa ser considerada uma área tecnológica incipiente, as práticas descritas acima podem ajudar a resolver as atuais lacunas de segurança de API à medida que as soluções circundantes amadurecem.