A preocupação com a segurança de APIs não pode ficar para depois. O motivo é justamente o sucesso dessa abordagem de integração, que está na base da migração para a cloud, da ascensão da arquitetura de microsserviços e da ampliação do uso do DevOps.
De acordo com o estudo API Security Trends, o número médio de APIs por empresa mais que triplicou entre 2020 e 2021, indo de 28 para 80, perfazendo um volume de chamadas mensais de 470 milhões por empresa.
Com a proliferação do uso de APIs como alicerce das aplicações modernas e da troca de dados, temos mais uma porta de acesso a dados e serviços críticos de aplicações. De acordo com estimativas, 80% de todo o tráfego da internet passa por APIs.
É claro que isso atrai ameaças. Em muitos casos são justamente as APIs o elo mais fraco da cadeia de segurança de aplicações de uma organização. De acordo com a mesma pesquisa citada, o volume de chamadas maliciosas de APIs chegou a 12,22 milhões. Mesmo assim, 62% das organizações não têm ou têm apenas uma estratégia muito básica de segurança de APIs.
O resultado não surpreendeu: 94% dos entrevistados pela pesquisa afirmaram ter experimentado ao menos um incidente com APIs em 2020.
Tudo isso leva o tema da segurança das APIs à principal preocupação das empresas. O fato tem inclusive atrasado o andamento de projetos. É o que afirmaram 70% dos entrevistados, que dizem que consideram seu programa de segurança de APIs ineficiente em algum grau.
Desenhado o contexto, ficam as questões: quais os principais ataques? Quais as dificuldades que as organizações têm de atuar em segurança de APIs? Que práticas elas deveriam estar aplicando? E, finalmente, como o iPaaS APIPASS ajuda as organizações nesse quesito?
Os principais ataques a APIs
A maioria dos ataques a APIs estão ligados a vulnerabilidades, problemas de autenticação, negação do serviço, exposição de dados e uso fraudulento de contas. Em muitos casos eles compartilham similaridades com outros ataques a sistemas.
De acordo com o OWASP API Security Project, as dez maiores ameaças são, em ordem decrescente, as seguintes:
- Quebra de autorizações a objetos (BOLA)
- Quebra de autenticação de usuários
- Exposição de dados excessiva
- Falta de recursos para limitar a taxa de acessos
- Mass assignment
- Configurações incorretas em segurança
- Injection
- Gerenciamento inadequado de ativos
- Logging e monitoramento insuficiente.
As dificuldades que as organizações têm em segurança de APIs
Falta de recursos e de profissionais: As organizações carecem tanto de profissionais à frente da elaboração e implementação de um programa moderno e suficientemente robusto de segurança de APIs quanto de ferramentas adequadas para isso.
Orçamentos limitados: As organizações tendem a economizar justamente em itens que consideram adicionais ao core dos sistemas em desenvolvimento, mesmo que fundamentais para a resiliência da operação, como a segurança de APIs.
Prioridades competitivas: Em muitos casos, prioridades competitivas levam equipes a colocar o desenvolvimento acima da segurança a fim de reduzir ao máximo o time-to-maket.
Falta de expertise: Em muitos casos, o design e desenvolvimento de APIs ficam com desenvolvedores e não de especialistas em APIs, o que pode afetar a qualidade dos controles de segurança.
Falta de estratégia definida: Se não há equipe, orçamento e know-how no desenvolvimento e operação com APIs, logo a organização acaba por não construir uma abordagem consistente em segurança.
Aspectos da segurança de APIs: do design à operação
Segurança de APIs requer uma abordagem que envolva todo o seu ciclo de vida porque, como se vê, as vulnerabilidades emergem em diferentes estágios, desde o design, passando pelo desenvolvimento até a operação.
Algumas boas práticas devem ser seguidas por toda organização:
- Determinar requisitos de segurança para construir e integrar APIs: A organização precisa estar a par de políticas e práticas mais atualizadas em segurança de API e saber adequá-las a seu porte e suas necessidades.
- Ter um inventário de APIs: Essa visibilidade é fundamental para a organização ter exata ideia de qual é sua superfície de ataque, identificar dados sensíveis acessíveis através delas e qual deve ser sua postura em termos de prioridades.
- Fazer testes de segurança: Usar as ferramentas tradicionais de teste – desde que ciente suas limitações – ajuda a verificar má configurações bem conhecidas, vulnerabilidades e outras brechas que podem ser exploradas.
- Usar mecanismos de mediação de APIs: API gateways e outras ferramentas de controle que proporcionem mais visibilidade e centralização do tráfego.
- Adotar ferramentas modernas de segurança da rede: Identificar e gerir acessos, dado o fim do conceito de perímetro da rede.
- Segurança de dados: Criptografia e outras formas para garantir a segurança e privacidade de dados trafegados na internet.
- Usar mecanismos modernos de autenticação e autorização: Adotar uma abordagem mais profunda que a de chaves de API, usando OpenID Connect e OAuth.
- Proteção contra ameaças: Analisar o comportamento das APIs para identificar falhas de configuração na infraestrutura de APIs assim como comportamentos anômalos.
Como a APIPASS garante a segurança no uso de APIs
Autorização para logging de inputs e outputs
O iPaaS da APIPASS não salva os dados trafegados pelas pelos fluxos de integração, por padrão. O armazenamento requer a habilitação manual do usuário. Esse recurso pode ser útil para o desenho de fluxos, por exemplo. Após, ele pode ser desabilitado caso o usuário não deseje que inputs e outputs sejam salvos durante a execução em produção.
TLS
Toda transferência de dados feita pelo iPaaS APIPASS utiliza o protocolo de segurança TLS – Transport Layer Security, que criptografa a comunicação entre os servidores e garante que os dados trafegados sejam confidenciais e seguros.
VPC com subnet privada
As instâncias da aplicação que executam os fluxos de integração então dentro de uma VPC da AWS com uma rede privada que não aceita tráfego vindo da internet e não possui endereços de IP públicos.
Nossos servidores rodam dentro do provedor de Cloud AWS. Eles estão localizados na região do Norte da Virgínia, em duas zonas de disponibilidade.
Veja mais: Arquitetura iPaaS APIPASS: conheça o core da nossa plataforma
Instâncias dedicadas
Por questão de resiliência, mas também de segurança, os clientes que rodam fluxos na infraestrutura da APIPASS têm instâncias dedicadas, customizadas de acordo com a sua necessidade de processamento e de memória.
AWS Secrets Manager
AWS Secrets Manager nos ajuda a proteger os segredos de acesso às suas aplicações, como tokens, usuários e senhas que precisamos utilizar para acessar suas aplicações, serviços e recursos de TI.
NAT Gateway
Mecanismo que garante a conexão segura com serviços externos – como servidores de clientes -, sem que possamos receber conexões não solicitadas desses ambientes.
Pentest
Teste de intrusão, com simulações de diferentes ataques, a fim de identificar vulnerabilidades nos mecanismos de proteção das aplicações da APIPASS.
Segurança de APIs: tenha um parceiro
Segurança de APIs, assim como cibersegurança em geral, está entre as top prioridades dos líderes de TI, seja de organizações que usam APIs, seja das que monetizam.
Com o uso mais comum de ferramentas de integração de fornecedores externos, saber como eles tratam essa questão é um dos requisitos básicos para uma boa decisão.
O iPaaS APIPASS tem o pilar da segurança by design. Hospedado em um cloud privada e com os mecanismos necessários para garantir a filtragem tanto da comunicação que acessa as aplicações quanto a comunicação das aplicações com serviços externos, a solução tem ajudado as organizações a facilitar a operação segura com APIs em fluxos seguros.
Conheça melhor todas as funcionalidades do iPaaS APIPASS agora. Fale com um de nossos consultores.