Header Ads Widget

Ticker

6/recent/ticker-posts

Seguridad API: una puerta de entrada al cielo


Debido a que impulsan las aplicaciones utilizadas por cientos, miles e incluso millones de personas, la seguridad es muy importante al crear API . A pesar de esto, quizás debido a su reputación ahora obsoleta como productos de nicho “solo para técnicos”, puede haber un cierto aire de complacencia en torno a la seguridad de API.

En el pasado, escribimos ampliamente sobre el tema y también cubrimos algunos casos específicos, como la seguridad API para banca . Sin embargo, lo que hemos tratado con menos frecuencia es cómo abordar los innumerables desafíos de seguridad que enfrentan los desarrolladores de API.

Al hablar en nuestra Cumbre de API de Austin 2018 , Andrew Slivker de Nevatech cubrió algunas de las posibles trampas de la seguridad de API, así como cómo una puerta de enlace API puede ser de gran ayuda para abordarlas.

Vea a Andrew Slivker de Nevatech hablar sobre las puertas de enlace para la seguridad de API:

Diapositivas

Modelos de seguridad API actuales

En 2018, el acceso a las API está cada vez más fragmentado en términos de dónde se accede a ellas y los dispositivos que se utilizan para acceder a ellas. Piense, por ejemplo, en cómo las personas en 2018 podrían usar Google Home o Alexa para llamar a un Uber o activar una lista de reproducción de Spotify; eso está muy lejos de las encarnaciones originales de esas aplicaciones.

Slivker hace un punto clave cuando dice que “ incluso las interacciones simples pueden verse complicadas por diferentes entornos, como el acceso en las instalaciones, la nube y el acceso híbrido. ”Esta sensación de fragmentación es especialmente problemática para muchas API que trabajan con datos confidenciales . No es de extrañar que sean un objetivo importante para los ciberdelincuentes , actores extranjeros y similares.

Pero hay algunas buenas noticias: existen estándares de seguridad para prevenir tales exploits. Slivker dice que “ técnicamente hablando, especialmente para las API REST, solo hay unos pocos modelos de seguridad que se consideran estándar, es decir, bien definidos por las especificaciones de la industria. ”Proporciona los siguientes ejemplos:

  • Nombre de usuario / contraseña (autenticación básica)
  • Certificaciones X.509 (unilateral o mutuas)
  • Kerberos / NTLM
  • OAuth
  • Personalizado (claves API)
Relacionado: Explicación de 3 métodos comunes de autenticación de API

Esto significa, como destaca Slivker, que otros desarrolladores que utilizan la API comprenderán lo que significa la autenticación básica sin tener que hacer ninguna investigación adicional: “ Lo dice todo. El desarrollador no tendría que saber nada más sobre el modelo de seguridad de mi API. "

Quizás valga la pena señalar desde el principio que un número algo limitado de enfoques de seguridad API no es necesariamente algo malo; significa que elegir una solución adecuada es menos abrumador que si hubiera, digamos, más de 20 estándares viables en el mercado.

Pero "limitado" no es lo mismo que "uno", lo que significa que lograr que los modelos de seguridad se comuniquen entre sí puede ser problemático. La mejor solución a este problema, en opinión de Slivker, es usar una puerta de enlace API .

¿La puerta de entrada al éxito?

Chris Richardson de Eventuate, Inc. describe una puerta de enlace API como “ un servidor que es el único punto de entrada al sistema ... encapsula la arquitectura del sistema interno y proporciona una API que se adapta a cada cliente. Puede tener otras responsabilidades, como autenticación, supervisión, equilibrio de carga, almacenamiento en caché, configuración y gestión de solicitudes y gestión de respuestas estáticas. "

Slivker dice que si una puerta de enlace está ubicada en las instalaciones , en la nube o sirve como DMZ, puede “ encapsular los desafíos de seguridad de la API, relacionados con la actividad entrante y saliente, dentro de sí misma. "

Agrega que “ la puerta de enlace de API es un intermediario que se encuentra entre un consumidor de API y la propia API y actúa efectivamente como un intermediario ” , que es otro buen resumen de por qué son útiles para la seguridad; Imagine a un portero que tiene que vigilar una sola puerta en lugar de intentar vigilar cincuenta.

Desafíos de seguridad de API y cómo abordarlos desde las API nórdicas

También explica por qué un área en la que brillan las puertas de enlace API es la mediación ; permiten que una API espere y maneje cualquier tipo de modelo de seguridad en el lado de entrada. Los modelos de seguridad pueden ser los mismos tanto en el lado entrante como en el saliente o pueden ser diferentes, lo que le da a una API mucha más flexibilidad .

Al escribir para nginx , Richardson usa Netflix como un caso de estudio de por qué las puertas de enlace API pueden ser tan poderosas:

"El servicio de transmisión de Netflix está disponible en cientos de tipos diferentes de dispositivos, incluidos televisores, decodificadores, teléfonos inteligentes, sistemas de juegos, tabletas, etc. Inicialmente, Netflix intentó proporcionar una API única para todos los servicios de transmisión. . Sin embargo, descubrieron que no funcionaba bien debido a la diversa gama de dispositivos y sus necesidades únicas. En la actualidad, utilizan una puerta de enlace API que proporciona una API adaptada a cada dispositivo mediante la ejecución de un código de adaptador específico del dispositivo. Normalmente, un adaptador maneja cada solicitud invocando un promedio de seis a siete servicios de backend ".

Netflix puede haber cerrado su API pública , pero aún son muy apreciados en el espacio de las API y son un gran ejemplo de una empresa que necesita ser lo más flexible posible debido a la cantidad de formas en que se puede acceder al servicio.

Lea también: Puertas de enlace API a la arquitectura de microservicios directos

Violaciones de datos y seguridad de API

Slivker habla sobre cómo la administración de API incluye todo, desde catálogos de API y acceso a metadatos (por ejemplo, OpenAPI Spec) hasta encontrar documentación, archivos de muestra y más. Pero, como señala, el monitoreo y la seguridad también representan una gran parte de la gestión exitosa de API.

Para tomar prestada una frase de Slivker, “la seguridad que no tiene senderos ya está medio rota. “Las puertas de enlace API agregan valor, ya que brindan la mayor parte del proceso de seguridad posible bajo su control y lo hacen más fácil de observar.

Además de proteger su API colocando una puerta de enlace frente a ella, también puede usar una puerta de enlace API para consumir una ** API externa **. "¿Pero por qué querrías hacer eso?" usted pregunta. La respuesta simple es que puede ayudarlo a protegerse si otras empresas con las que trata no toman las medidas de protección adecuadas.

Cuando pensamos en violaciones de datos , la mayoría de nosotros pensamos en empresas / sitios como el agregador de contenido Reddit, Equifax o el gigante eléctrico Dixons Carphone. Sin embargo, es posible que no los asociemos con API. Bueno, tal vez deberíamos.

En 2017, se reveló que un punto final API no autorizado era el culpable de que Panera Bread filtrara hasta 37 millones de registros de clientes. Mientras tanto, Salesforce admitió hace solo unas semanas que los datos de sus clientes pueden haber sido compartidos incorrectamente debido a un error de API. En la era del RGPD y otras revisiones de la ley de protección de datos, los errores de API y los puntos finales con fugas podrían terminar siendo errores increíblemente costosos.

En pocas palabras, la seguridad se trata de autenticación y autorización. Slivker sostiene que la implementación efectiva de una puerta de enlace " debería poder absorber todo eso, por lo que los servicios de back-end ya no tienen que lidiar con la autorización" . Esto simplifica la configuración de las reglas de acceso y, potencialmente, el manejo de una lógica de autorización compleja.

Pensamientos finales

Los desarrolladores de API a menudo anteponen las funciones y el tiempo de actividad a la seguridad. Eso no es necesariamente un comportamiento imprudente, sino el resultado de un tiempo y recursos limitados. Nadie usará una API que solo tenga un tiempo de actividad del 73% o un número muy limitado de funciones, por lo que esas preocupaciones son privilegiadas.

Si bien la seguridad insuficiente es mucho menos obvia a simple vista, las grandes violaciones de datos continúan haciendo que los resultados oscuros sean imposibles de ignorar. El enfoque de DevSecOps es evidencia de una creciente preocupación por contrarrestar la seguridad deficiente.

Según Slivker, adoptar a terceros para una medida de seguridad proactiva significa menos tiempo y menos código:

"Sus desafíos de seguridad de API pueden y deben delegarse a la infraestructura de administración de API porque [significa] que no tiene que escribir ningún código, se trata de configuración"

Jason Macy, del proveedor de administración de seguridad de API Forum Systems, señala que "así como no confiaría en que sus aplicaciones brinden una protección real de firewall o malware, no debe esperar que sus plataformas de administración de API brinden una protección de seguridad de API real".

Piense críticamente sobre la seguridad de la API a lo largo de su ciclo de vida y con cada herramienta que agregue a su pila. Si bien es posible que una puerta de enlace de API no pueda abordar todos los problemas de seguridad de API que tenga, representa un muy buen comienzo.


 

Publicar un comentario

0 Comentarios