As equipes de segurança estão enfrentando um problema cada vez mais comum à medida que a prevalência de APIs cresce - a implantação geralmente supera os processos e proteções de segurança, criando uma vulnerabilidade que precisa ser abordada. Como as APIs se tornam o próximo grande vetor de ataque, é essencial entender o equilíbrio entre proteger as APIs e o custo potencial de não agir. Para obter adesão organizacional, é importante criar um plano em fases que forneça maior visibilidade das APIs, determine quais APIs expõem dados confidenciais e estabeleça processos para gerenciar APIs. Estratégias para proteger APIs sem comprometer a velocidade de desenvolvimento são super essenciais.
Um dos segredos é inserir na Governança de Arquitetura políticas de segurança que irão guiar desenvolvedores de novas APIs. Tais políticas são aplicadas de acordo com a categoria das APIs. Algumas técnicas de segurança podem ser consideradas mínimas e, portanto, nenhuma API deve ser publicada em produção sem sua implementação, dentro destas categorias estão OAuth, OpenID Connect e Quotas. Políticas de segurança mais rebuscadas, como quando a sua empresa precisa ter APIs PCI compliance, requerem mais atenção a segurança e mais fáceis de implantar quando você utiliza um gerenciador de APIs consistente, como o Apigee, são: Security Headers, Validação de Entrada (JSON Protection, XML Protection, Regular Expression Protection), entre outras.
Também é importante que seu Backend esteja integrado, em termos de segurança, com suas APIs e Gerenciador de APIs. Logo, possuir segregação de domínios com Service Mesh (ex.: Istio, Consul) atrelado a um IAM (ex.: Keycloak) e Gestão de Segredos (ex.: Vault) é uma ótima prática.
Por fim, para saber como anda realmente a sua Governança de Arquitetura com suas políticas de segurança implantadas em ambiente de execução, tenha um SIEM (ex.: Apache Metron) com seus coletores de dados (ex.: Apache Nifi) vão lhe ajudar a ter a visão do que está ocorrendo em relação a segurança como um todo, inclusive das APIs. Ah! Sobre IASec falamos depois.
Para saber mais como proteger suas APIs. Follow the link!
Comentarios