Seguridad de las API en un mundo Zero Trust
Ahora más que nunca, el concepto tradicional de perímetro de seguridad está cambiando. Esto está llevando a muchas organizaciones a adoptar los principios de la arquitectura Zero Trust (ZTA), muchos de los cuales se centran en evaluar la confianza de los usuarios y controlar el acceso a redes, sistemas y datos confidenciales a través de interfaces de usuario principales.
Sin embargo, muchas iniciativas de ZTA pasan por alto la creciente prevalencia del acceso basado en la interfaz de programación de aplicaciones (API) a la funcionalidad y los datos de las aplicaciones confidenciales cuando diseñan formas de evaluar la confianza de forma continua.
En esta entrada de blog, destacaremos algunos de los puntos de intersección entre las API y la ZTA. También explicaremos algunos pasos iniciales que puede seguir para ampliar su ZTA a fin de incluir las API.
¿Qué es la arquitectura Zero Trust?
En 2010, Forrester Research presentó los principios de la ZTA al público principal de seguridad empresarial. El diseño de la ZTA se ha mejorado considerablemente desde entonces, tanto por parte de Forrester como de otras partes interesadas del sector, incluido el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. en la publicación especial 800-207 del NIST.
En términos sencillos, Zero Trust asume que , de forma predeterminada, no se puede confiar en ningún usuario o dispositivo. Al contrario, cada uno de ellos debe estar sujeto a evaluación cada vez que se intente acceder a un recurso confidencial, y deberá evaluarse de forma continua a partir de ese momento.
Durante muchos años, la ZTA fue más un tema de debate que un concepto que las organizaciones desarrollaran en el mundo real. Pero la migración global de trabajadores a sus hogares propiciada por la pandemia del COVID-19 provocó que muchas organizaciones impulsaran planes tangibles para adoptar los principios de la ZTA.
¿Dónde se entrecruzan las API y Zero Trust?
La publicación SP 200-807 del NIST describe siete principios básicos de la ZTA. Aunque estos principios abarcan mucho más que el acceso basado en API a la funcionalidad y los datos de las aplicaciones, también tienen puntos de intersección muy claros con la estrategia de API de una organización.
Los 7 principios básicos de Zero Trust
En la siguiente tabla se incluyen los siete principios básicos de la ZTA, tal y como se define en la publicación SP 200-807 del NIST, con recomendaciones para ajustar las prácticas de seguridad de API de su organización a estos principios.
Los 7 principios básicos de la arquitectura Zero Trust |
Implicaciones en la seguridad de las API |
|---|---|
1. "Todas las fuentes de datos y los servicios informáticos se consideran recursos". |
Muchas de las aplicaciones y fuentes de datos dentro del ámbito de la ZTA son accesibles a través de las API, además de las interfaces de usuario directas. Por lo tanto, su modelo de aplicación de políticas y evaluación de la ZTA debe incluir interfaces API. |
2. "Todas las comunicaciones están protegidas independientemente de la ubicación de la red". |
Incluso si las API están destinadas únicamente para uso interno dentro de un centro de datos privado o un entorno de nube, debe implementar el cifrado, la autenticación y la autorización como si estuvieran orientadas de forma externa a fin de garantizar la confidencialidad y la integridad de los datos. |
3. "El acceso a los recursos individuales de la empresa se otorga por sesión". |
Debe evaluar la confianza antes de otorgar acceso a un recurso de API. El acceso se debe otorgar con los privilegios mínimos posibles. Utilice análisis de comportamiento para supervisar el uso de las API y evaluar continuamente la confianza. |
4. "El acceso a los recursos está determinado por una política dinámica, incluido el estado observable de la identidad del cliente, la aplicación/el servicio y el activo que lo solicita, y puede incluir otros atributos de comportamiento y de entorno". |
Para aplicar la ZTA a las API, debe ser capaz de identificar las entidades implicadas, inferir el contexto empresarial y utilizar análisis de comportamiento para identificar desviaciones de los patrones de uso normales. Un atributo de comportamiento importante es la denegación de servicio a través de llamadas de API rápidas. Esta es la razón por la que la falta de limitación de la tasa de API se clasifica como un Acceso sin restricciones a flujos empresariales confidenciales en la lista 10 principales riesgos de seguridad de API según el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP). Como indica NIST : "Estas reglas y atributos se basan en las necesidades del proceso empresarial y en un nivel de riesgo aceptable". |
5. "La empresa supervisa y mide la estrategia de seguridad y la integridad de todos los activos propios y asociados". |
Este requisito se basa en el concepto de diagnóstico y mitigación continuos (CDM) definido por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. El CDM incluye elementos como la gestión de activos, de vulnerabilidades y de la configuración o los ajustes. Al igual que los activos físicos, las API se deben detectar, clasificar y rastrear continuamente. De manera similar, las evaluaciones de vulnerabilidad actuales deberían extenderse más allá de las vulnerabilidadess tradicionales de seguridad de las aplicaciones y la red para incluir posibles vulnerabilidades basadas en API. |
6. "Todas las autenticaciones y autorizaciones de recursos son dinámicas y se aplican de manera estricta antes de permitir el acceso". |
Este concepto puede y debe ampliarse a las API. Las organizaciones que adoptan la ZTA deben realizar una supervisión continua del uso de las API y utilizar una tecnología automatizada (p. ej., bloquear, limitar, revocar credenciales) para responder cuando se detecta un comportamiento anómalo o abusivo en el tráfico de API autenticado y autorizado. |
7. "La empresa recopila la mayor cantidad de información posible sobre el estado actual de los activos, la infraestructura de red y las comunicaciones, y la utiliza para mejorar su estrategia de seguridad". |
Para ser un elemento eficaz de una ZTA, sus medidas de seguridad de API deben ser capaces de capturar datos a lo largo de periodos prolongados; lo ideal es que sea un plazo suficiente para detectar un abuso sutil de las API. Este nivel de detalle es necesario para realizar análisis de comportamiento tanto para la evaluación de riesgos en tiempo real como para las mejoras continuas en diseño de la ZTA. Esto incluye proporcionar acceso bajo demanda a la API y los datos de amenazas a los investigadores de amenazas para su uso en la identificación de posibles mejoras en las políticas. También se deben crear puntos de integración similares con las herramientas operativas y de desarrollo y los flujos de trabajo que utilizan sus equipos. |
Siga estos 7 pasos iniciales para ampliar su ZTA de modo que incluyan las API
Uno de los mayores desafíos para la mayoría de las organizaciones que desean adoptar la ZTA es decidir por dónde empezar. En el caso de la seguridad de las API, la implementación de las siguientes capacidades tendrá un impacto inmediato en su estrategia de seguridad, al tiempo que le proporcionará la base que necesita para incorporar la seguridad de las API en sus futuros planes de ZTA.
Implemente la detección continua de API y mantenga un inventario preciso de todas las API y los activos accesibles mediante API
A medida que se descubran API no autorizadas, asegúrese de que haya flujos de trabajo sistemáticos para incorporarlas a la gestión o eliminarlas
Implemente una autenticación y autorización de API sólida independientemente de si las API son públicas o privadas
Identifique de forma proactiva las vulnerabilidades de las API como una disciplina continua, empezando por los 10 principales riesgos de seguridad de API según OWASP
Desarrolle capacidades para analizar grandes conjuntos de datos de tráfico de API con el fin de determinar un estándar de comportamiento normal y llevar a cabo la detección de anomalías
Introduzca información sobre amenazas y confianza en los motores de políticas de ZTA a medida que se implementan a través de integraciones de API
Inicie respuestas automatizadas cuando surjan vulnerabilidades, amenazas y abusos de las API
El primer paso
Incorpore la seguridad de las API a su ZTA. Vea todo lo que puede hacer con Akamai API Security.
