Quando pensa em implementar APIs na sua empresa, você leva em conta a segurança?
Se você não tinha pensado sobre isso, ou não tinha dado a devida importância ao assunto, por favor, você precisa ler isso antes de continuar…
Recentemente li um artigo escrito por Sam Macklin, ele é analista de marketing e especialista em estratégia, design, gerenciamento e segurança de APIs na API Academy. Ele falava da importância de pensarmos, de forma antecipada, sobre a estratégia de segurança no momento da definição de um programa corporativo de APIs.
Foi citado também o relatório de uma pesquisa realizada pela Freeform Dynamics(patrocinada pela CA Technologies) com um grupo de empresas digitais de comportamento disruptivo (“Digital Disrupters”) afirmando que a segurança das APIs está entre as principais preocupações dessas empresas. Para acessar a pesquisa, clique aqui.
Esta preocupação tem um motivo bem claro. Essas empresas sabem que uma API tem o poder de expor seu backend a uma série de ameaças graves. Elas sabem também que segurança de APIs não é algo que possa ser adicionado a infraestrutura a qualquer momento, como um firewall ou antivírus. A segurança é algo que deve ser parte integrante, desde o início, de sua estratégia de definição, utilização e exposição de APIs.
Achei isso bastante curioso e fiquei pensando como esse assunto tem sido enfrentado pelas empresas no mercado LATAM. Nos últimos meses, tenho estado particularmente envolvido em algumas concorrências contra players nacionais e internacionais de gestão de APIs e cheguei à conclusão que alguns clientes ainda não estão levando isso tão a sério quanto deveriam…
Muitas empresas justificam essa baixa preocupação com segurança dizendo que as APIs serão utilizadas apenas para integrações internas ou em aplicativos internos, ou seja, não serão expostas para desenvolvedores externos ou usuários finais. Logicamente que quando temos esse cenário a preocupação com a segurança pode ser menos urgente. O que acaba acontecendo é que as empresas só investem em segurança quando é realmente primordial para os negócios e isso acaba sendo um grande erro, aponta o relatório.
O que temos visto é que essas APIs, inicialmente desenvolvidas para uso interno, posteriormente acabam sendo reutilizadas para projetos que exigem exposição externa, ou seja, a longo prazo é muito mais eficiente prover mecanismos de segurança robustos desde o princípio de criação das suas APIs do que ter que revisitar isso lá na frente.
Sabendo disso, o que precisamos nos preocupar para termos uma solução robusta de segurança de APIs?
O principal é centralizar o processo de segurança de todas as APIs. Na verdade, a idéia é separar a parte de segurança de todo o resto, através do qual todo o tráfego das APIs deve passar e tratá-la como parte de uma infraestrutura central de API. As soluções de gestão de APIs mais seguras permitem isso.
Outros pontos importantes que devem ser avaliados:
- Procure saber se a solução de gestão de APIs possui alguma certificação de segurança (FIPS 140-2 e Common Criteria são bons exemplos!);
- Consegue proteger de forma direta contra ataques e ameaças REST e SOAP (Cross-Site Scripting, XML Flood/Encapsulation/Virus, Replay Attacks, Resource Hijack, XPath/SQL Injection, entre outras)
- Consegue gerenciar acessos utilizando padrões de mercado e se integrar com soluções de IAM.
