VISÃO GERAL DA SOLUÇÃO

Como proteger APIs e integrações de terceiros

Proteja a estrutura de seus negócios digitais

Ilustração de integração de terceiros com APIs seguras

As APIs são a base dos aplicativos modernos. Ao permitir que sistemas diferentes trabalhem coletivamente, as APIs podem acelerar o tempo de lançamento no mercado e proporcionar experiências de usuário aprimoradas, aproveitando os vastos ecossistemas de terceiros. Por outro lado, o uso crescente de APIs descentralizou a arquitetura e introduziu riscos desconhecidos. Isso torna a proteção de aplicativos e APIs ainda mais difícil, o que, por sua vez, os torna extremamente atraentes para os invasores. À medida que as organizações continuam a modernizar seus portfólios de aplicativos e a inovar na nova economia digital, o número de APIs é projetado para atingir um bilhão até 2031.

Principais benefícios

Segurança distribuída

A F5 é executada em todos os lugares em que suas APIs estão presentes - no data center, nas nuvens, na borda, por trás de seus aplicativos móveis e em suas integrações de terceiros.

Aplicação consistente

A segurança da F5 emprega um modelo de segurança positivo com base no aprendizado do esquema de API, pontuação de risco automatizada e proteções baseadas em ML.

Proteção contínua

As soluções F5 oferecem visibilidade universal, insights acionáveis e aprendizado de máquina altamente treinado que descobre continuamente e defende automaticamente a lógica comercial crítica por trás das APIs.

Entendendo os desafios e os possíveis riscos das APIs

A proliferação de APIs de um tecido de endpoints e integrações em constante expansão torna impraticável para as equipes de segurança identificar e proteger a lógica comercial essencial usando métodos manuais. As APIs estão cada vez mais distribuídas em infraestruturas heterogêneas, incluindo ambientes híbridos e de várias nuvens, o que faz com que a lógica comercial essencial seja exposta fora do domínio dos controles de segurança centralizados. Além disso, como as equipes de desenvolvimento de aplicativos se movem rapidamente para inovar, as chamadas de API podem acabar ocultas na lógica de negócios, dificultando sua identificação. 

Com tanta ênfase na velocidade da inovação, a segurança muitas vezes é deixada para trás. Às vezes, a segurança é simplesmente ignorada no projeto das próprias APIs. Muitas vezes, a segurança é considerada, mas a política é mal configurada devido à complexidade das nuances da manutenção de implementações de aplicativos que abrangem várias nuvens e arquiteturas. 

Como as APIs são projetadas para a troca de dados entre máquinas, muitas APIs representam uma rota direta para dados confidenciais, geralmente sem os mesmos controles de risco que a validação de entrada em formulários da Web voltados para o usuário. No entanto, esses pontos de extremidade estão sujeitos aos mesmos ataques que assolam os aplicativos da Web, ou seja, explorações de vulnerabilidades, abuso da lógica de negócios e desvio de controles de acesso que podem levar a violações de dados, tempo de inatividade e sequestro de contas (ATO).

Os endpoints de API não só devem ser avaliados com os mesmos controles de risco que os aplicativos da Web, como também são necessárias considerações adicionais para atenuar o risco não intencional dos endpoints que estão fora do alcance das equipes de segurança ou que foram essencialmente abandonados, como é o caso das APIs shadow e zumbis. 

As APIs estão sujeitas aos mesmos ataques que os aplicativos da Web

Como as APIs são suscetíveis a muitos dos mesmos ataques conhecidos por terem como alvo os aplicativos da Web, os incidentes de segurança das APIs têm sido a causa de algumas das violações de dados de maior visibilidade. Riscos como controles fracos de autenticação/autorização, configuração incorreta, abuso de lógica comercial e falsificação de solicitações do lado do servidor (SSRF) afetam tanto os aplicativos da Web quanto as APIs. Explorações de vulnerabilidade e abuso de bots e automação mal-intencionada são as principais preocupações:

As APIs introduzem riscos não intencionais em todo o projeto e implementação

Os aplicativos têm se movido em direção a um modelo cada vez mais distribuído e descentralizado, com APIs servindo como interconexão. Aplicativos móveis e integrações de terceiros que aumentam o valor do negócio tornaram-se apostas de mesa para competir com sucesso em um mundo on-line. A pesquisa da F5 Labs detalha como as APIs são um alvo crescente à medida que mais setores adotam arquiteturas de aplicativos modernas - em parte porque as APIs são mais estruturadas e mais fáceis de serem trabalhadas pelos invasores.

O risco aumenta quando as APIs são amplamente distribuídas sem uma estratégia de governança holística. Esse risco é exacerbado por um processo contínuo de ciclo de vida de aplicativos, em que os aplicativos e as APIs estão em constante mudança ao longo do tempo devido à integração com cadeias de suprimentos complexas e à automação por meio de pipelines de CI/CD.

A variedade de interfaces e a possível exposição a riscos significam que as equipes de segurança precisam proteger a porta da frente, bem como todas as janelas que representam os blocos de construção dos aplicativos modernos.

Solução de Segurança da API

Os avanços no aprendizado de máquina possibilitam descobrir dinamicamente os pontos de extremidade da API e mapear automaticamente suas interdependências, fornecendo uma maneira prática de analisar os padrões de comunicação da API ao longo do tempo e identificar APIs obscuras ou não documentadas que aumentam o risco.  

Além disso, o monitoramento e a análise contínuos de endpoints permitem que as linhas de base de segurança sejam construídas de forma autônoma, proporcionando detecção em tempo real, pontuação de risco automatizada e atenuação de usuários mal-intencionados sem aumentar desnecessariamente a carga de trabalho da sua equipe de segurança.

Essa proteção contínua e automatizada resulta em políticas altamente calibradas que podem ser aplicadas de forma consistente em todas as arquiteturas para todas as APIs - mitigando explorações, impedindo bots e abusos, e reforçando o esquema, a conformidade do protocolo e o controle de acesso.

As empresas precisam modernizar seus aplicativos legados e, ao mesmo tempo, desenvolver novas experiências de usuário, aproveitando arquiteturas modernas e integrações de terceiros. Uma estratégia de governança holística que proteja as APIs do núcleo à nuvem e à borda oferece suporte à transformação digital e reduz os riscos conhecidos e desconhecidos.

Figura 1: As soluções da F5 protegem as APIs em todo o ecossistema de aplicativos corporativos
Figura 1: As soluções da F5 protegem as APIs em todo o ecossistema de aplicativos corporativos

Principais recursos

Descoberta de API dinâmica

Detectar pontos de extremidade da API em todo o ecossistema de aplicativos corporativos.

Detecção de anomalias

Identificar comportamento suspeito e usuários mal-intencionados usando pontuação de risco automatizada e aprendizado de máquina.

Importação de definição de API

Criar e aplicar um modelo de segurança positivo a partir das especificações da OpenAPI.

Conformidade de protocolo e autenticação

Suporte para APIs baseadas em REST, GraphQL e gRPC, vários tipos de autenticação e JSON Web Tokens (JWT).

Automação de políticas

Integre-se a estruturas de desenvolvimento e ecossistemas de segurança.

Visualizações e percepções

Construa gráficos de relacionamento de API e avalie métricas de ponto de extremidade. 

Paradigmas de segurança de API flexível

As soluções F5 fornecem a flexibilidade para operar em qualquer ambiente. A visibilidade universal e as proteções automatizadas baseadas em ML maximizam a eficácia e aliviam a carga das equipes de segurança. A F5 pode consolidar soluções de nicho e pure-play e proteger consistentemente ambientes híbridos e multinuvem para melhorar a resiliência e a correção.

As principais considerações para a implantação da segurança da API incluem:
  1. Suporte híbrido e de várias nuvens 
    A visibilidade universal e a aplicação consistente de políticas reduzem a complexidade, a proliferação de ferramentas e o risco de configuração incorreta, além de aumentar a velocidade da correção.

  2. Integração com os processos de desenvolvimento existentes
    As equipes de segurança podem acompanhar o ciclo de vida do aplicativo integrando a política de segurança aos pipelines de CI/CD por meio de um registro terraform nativo.

  3. Modelo de segurança positivo
    As soluções F5 simplificam a política com um modelo de segurança positivo que aplica o esquema usando definições OpenAPI, arquivos Swagger e princípios de confiança zero.

  4. Defesas automatizadas
    A detecção de anomalias com base emML corrige explorações de vulnerabilidades, abuso de lógica comercial e negação de serviço sem sobrecarregar as equipes de segurança com o ajuste de políticas em vários ambientes ou falsos positivos excessivos.

  5. Visualizações ricas
    Os painéis de segurança com suporte de detalhamento em linhas de base de uso de API ajudam os operadores a correlacionar insights e simplificar a resposta a incidentes.

  6. Resiliência de segurança
    A telemetria durável e o aprendizado de máquina altamente treinado permitem uma segurança mais eficiente e eficaz que acompanha a velocidade dos negócios digitais e atenua os ataques emergentes de IA adversária.

Conclusão

As soluções F5 protegem as APIs em todo o portfólio corporativo, descobrindo continuamente e protegendo automaticamente a lógica comercial crítica e as integrações de terceiros em nuvens e arquiteturas.  

Uma política de segurança abrangente e consistente, aliada a defesas resilientes com tecnologia ML, permite que as organizações alinhem a segurança da API à estratégia digital. Isso permite que as empresas aprimorem o gerenciamento de riscos, inovem com confiança e simplifiquem as operações.

Veja F5 Distributed Cloud em ação.