As três práticas recomendadas de segurança de APIs recomendadas
Melhore suas defesas à medida que você desenvolve sua estrutura digital
INTRODUÇÃO
Para organizações que desejam prosperar na nova economia digital, o status quo simplesmente não é suficiente. Os controles de segurança tradicionais são estáticos e inflexíveis. Eles foram projetados na época da comunicação cliente/servidor com jornadas de usuário e fluxos de tráfego previsíveis, bem antes das APIs se tornarem onipresentes e a base das experiências digitais de hoje.
Embora os esforços para modernizar a segurança por meio da implementação de uma abordagem Zero Trust, acesso de menor privilégio e princípios de autenticação/autorização gerado bons resultados, o cenário mudou.Os jogadores no jogo do aplicativo que torcem por você realizando transações em suas propriedades digitais não são mais usuários no sentido tradicional. Cada vez mais, esses “usuários” são chamadas de lógica de negócios de APIs, que podem ser de parceiros ou integrações de ecossistemas, bem como de clientes ou clientes potenciais. A importância das APIs também significa que elas são um alvo muito maior para invasores.
As organizações que desejam sobreviver devem proteger suas APIs e mitigar riscos não intencionais e imprevistos em uma estrutura digital distribuída e em constante mudança, que abrange o data center, nuvens privadas/públicas e a borda. As organizações que desejam prosperar devem concentrar seus esforços estratégicos em algumas áreas principais para criar uma plataforma de segurança de API previsível, escalável e autodefensiva que proteja pontos de contato digitais em ambientes híbridos e de múltiplas nuvens.
Segurança tradicional versus moderna
Os controles de segurança tradicionais são amplamente implantados e usados por organizações no mundo todo para proteger segredos comerciais e dados de clientes. As empresas empregam inspeção de tráfego para ajudar a garantir a privacidade e evitar roubo de dados, restringindo o acesso a informações confidenciais. Controles de segurança, como limitação de taxa em gateways de API, ajudam a mitigar ataques de negação de serviço (DoS). E os controles de web scraping em firewalls de aplicativos web (WAFs) evitam o comprometimento de informações confidenciais, como preços. Além disso, as organizações geralmente usam uma combinação de ferramentas de segurança, como análise de código estático e testes dinâmicos de segurança de aplicativos para lidar com muitos riscos comuns, como aqueles no OWASP Top 10.
No entanto, no mundo digital de hoje, as medidas de segurança tradicionais não são suficientes. É por isso que tantas organizações estão adotando controles de segurança modernos, incluindo autenticação (AuthN), autorização (AuthZ) e inspeção dinâmica de tráfego para seus aplicativos distribuídos.
As organizações usam autenticação multifator, certificados de chave pública, biometria e outros métodos para confirmar a identidade de pessoas e dispositivos e para garantir que somente usuários legítimos e máquinas confiáveis possam acessar seus dados. Autorização é simplesmente uma questão de conceder permissões apropriadas a usuários autenticados, garantindo que eles possam acessar todos os arquivos e dados necessários para fazer seu trabalho, ao mesmo tempo em que os impede de ver outras informações às quais não deveriam ter acesso. A inspeção de tráfego permite que as empresas minimizem riscos examinando o tráfego de aplicativos em suas cadeias de inspeção de segurança e identificando atividades incomuns e ameaças potenciais, além de fornecer quaisquer insights necessários para contabilidade ou resposta a incidentes.
Embora esses controles sejam amplamente implantados e bem compreendidos pelas equipes de segurança e risco, implementá-los em uma infinidade de pontos de contato digitais — do núcleo do data center até a borda do cliente — é um desafio crítico.
A evolução para a segurança adaptativa
A segurança está cada vez mais focada em identidade e verificação. As organizações usam métodos como confiança zero e acesso de privilégio mínimo para aumentar o rigor de sua segurança, não confiando nem em usuários nem em dispositivos por padrão e limitando seu acesso ao mínimo de informações necessárias, em muitos casos por meio de modelagem de caso de uso predeterminada. As empresas também usam métodos como análise comportamental para detectar comportamentos suspeitos que podem indicar ameaças potenciais de usuários mal-intencionados, e controles baseados em risco para intensificar o processo de autenticação, tornando-o mais rigoroso à medida que o nível de ameaça percebido aumenta.
Figura 1: A Internet das Coisas conecta o mundo ao nosso redor e impulsiona nosso modo de vida moderno.
No entanto, as organizações hoje operam arquiteturas complexas e interconectadas, o que dificulta sua capacidade de aplicar políticas de segurança como AuthN e AuthZ de forma consistente. A TI está sobrecarregada com a proliferação de ferramentas e o desafio de gerenciar ambientes heterogêneos, e os “usuários” provavelmente serão APIs, serviços ou máquinas, em vez de seres humanos. A crescente complexidade e interconexão da arquitetura exige uma mudança de paradigma na gestão de riscos. O que é necessário é visibilidade entre plataformas aliada à inteligência artificial (IA) e ao aprendizado de máquina (ML) para que as organizações possam correlacionar insights de dados em escala e remediar rapidamente ameaças emergentes — recursos agora possíveis em plataformas de proteção de API e Web App como serviço (WAAPaaS).
Figura 2: Os WAFs são um controle de segurança estratégico que evoluiu ao longo do tempo.
“#1 razão para selecionar a segurança como serviço é a velocidade”1
Segurança Adaptável Baseada em Identidade
Um conjunto básico de serviços de aplicativos multiplataforma, juntamente com um modelo operacional positivo, são essenciais para qualquer plataforma de segurança, especialmente ao proteger APIs. Esses serviços de aplicativos principais podem incluir gerenciamento baseado em risco e confiança zero, bem como microssegmentação, que isola serviços e o acesso a eles dentro do data center ou ambiente de nuvem. A defesa nativa em profundidade, outro inquilino essencial, fornece várias camadas de controles de segurança em toda a plataforma para criar resiliência caso um controle de segurança não consiga deter um invasor motivado.
O forte isolamento de namespace segrega recursos para maior segurança, e o gerenciamento de segredos aplica consistentemente políticas de segurança para comunicação máquina a máquina, o que é cada vez mais comum em arquiteturas modernas.
Figura 3: Autoridade de Identidade para AuthN e AuthZ como parte de serviços de aplicativos multiplataforma.
Um modelo operacional de segurança positivo permite que as organizações integrem a segurança dentro de pipelines de CI/CD, descubram dinamicamente novos endpoints de API, apliquem esquemas de API e controles de acesso, bem como protejam automaticamente a lógica empresarial crítica com detecção de anomalias baseada em IA/ML. Isso permite a aplicação consistente de políticas durante todo o ciclo de vida do aplicativo, reduz riscos e configurações incorretas não intencionais em arquiteturas altamente descentralizadas e interconectadas e neutraliza usuários mal-intencionados.
Uma plataforma que pode ser dimensionada para fornecer esses serviços de forma consistente, independentemente de onde a infraestrutura subjacente e as APIs residem — e automatizar operações como análise de falsos positivos e avaliação/triagem de risco — permitirá que as equipes de segurança concentrem seus esforços no gerenciamento estratégico de risco em vez dos desafios táticos diários de manter políticas de segurança em todos os ambientes e gerenciar uma enxurrada de alertas de segurança que podem não estar correlacionados a nenhuma ação ou exigir resposta a incidentes.
Figura 4: Um modelo operacional de segurança positivo permite proteção automatizada e defesas adaptativas.
“As tecnologias de gerenciamento de identidade — incluindo o uso de autenticação e autorização para segurança de API — ainda são vistas como as abordagens mais valiosas para proteger aplicativos.”1
As três práticas recomendadas de segurança de APIs recomendadas
Para que as organizações prosperem na nova economia digital, suas equipes de segurança e risco devem concentrar seus esforços estratégicos em três áreas para ajudar a criar uma plataforma de segurança de API previsível, escalável e autodefensiva:
1. Segurança baseada em identidade
Evolua para segurança adaptável baseada em identidade.
2. Serviços multiplataforma
Implante serviços de aplicativos multiplataforma para obter consistência, observabilidade e insights acionáveis.
3. Proteção automatizada
Aproveite IA/ML para proteção automatizada contínua .
Descubra mais
E-book
Melhores práticas de segurança de API: Principais considerações para proteção de API
Para proteger as APIs com eficácia, é necessário estar alerta em várias frentes.
RELATÓRIO
Estado da estratégia de aplicação
Saiba como as empresas estão tornando seus negócios digitais mais responsivos e mais adequados para atender seus clientes, parceiros e funcionários, agora e no futuro.
DEMONSTRAÇÃO
Experiência de demonstração da nuvem distribuída F5
Veja o F5 Distributed Cloud em ação.
Relatório da Forrester
Os oito componentes da segurança de APIs
Explore como implementar um programa de segurança de API holístico.