La sicurezza delle API in un mondo Zero Trust
Ora più che mai, sta cambiando il concetto tradizionale di un perimetro di sicurezza, che conduce molte organizzazioni ad adottare i principi dell' architettura Zero Trust (ZTA) e a focalizzarsi perlopiù sulla valutazione dell'attendibilità degli utenti e sul controllo degli accessi a reti, sistemi e dati sensibili tramite le principali interfacce utente.
Tuttavia, molte iniziative ZTA sottovalutano l'incremento della prevalenza dell'accesso basato sulle API (Application Programming Interface) ai dati e alle funzionalità delle applicazioni sensibili man mano che vengono progettati modi per valutare l'attendibilità su base continuativa.
In questo post, ci proponiamo di evidenziare alcuni punti di intersezione tra le API e la ZTA, oltre a delineare alcune procedure iniziali da intraprendere per estendere la ZTA in modo da includere le API.
Che cos'è il modello Zero Trust?
Nel 2010, Forrester Research ha introdotto i principi dell'architettura ZTA per diffonderla tra gli utenti delle soluzioni per la sicurezza aziendale. La progettazione della ZTA è stata migliorata notevolmente da allora, sia da Forrester che da altri operatori del settore, incluso il NIST (National Institute of Standards and Technology) come descritto nella sua pubblicazione speciale 800-207.
In parole povere, l'architettura Zero Trust suppone che nessun utente o dispositivo sia da considerare automaticamente attendibile, ma invece debba essere valutato continuamente, non solo ogni volta che tenta di accedere a risorse sensibili.
Per molti anni, la ZTA è stata più di un oggetto di discussione che qualcosa di perseguito dalle organizzazioni nella realtà. Ma il passaggio al lavoro remoto a livello globale, spinto dalla pandemia di COVID-19, ha forzato molte organizzazioni a proseguire con piani tangibili per adottare i principi della ZTA.
Quali sono i punti di intersezione tra le API e il modello Zero Trust?
Nella SP 200-807 del NIST, vengono descritti i sette principi fondamentali della ZTA. Anche se questi principi includono molto più dell'accesso ai dati e alle funzionalità delle applicazioni basato sulle API, presentano evidenti punti di intersezione con la strategia delle API di un'organizzazione.
I 7 principi fondamentali dell'architettura Zero Trust
Nella seguente tabella, vengono riportati i sette principi fondamentali della ZTA, come definito nella SP 200-807 del NIST, con alcuni consigli su come allineare le pratiche per la sicurezza delle API delle organizzazioni in base a questi principi.
I 7 principi fondamentali dell'architettura Zero Trust |
Implicazioni sulla sicurezza delle API |
|---|---|
1. "Tutti i servizi di computing e le fonti di dati sono considerati risorse". |
Molte applicazioni e fonti di dati incluse nell'ambito della ZTA sono accessibili tramite le API oltre alle interfacce utente dirette. Pertanto, la valutazione della ZTA e il modello di applicazione delle policy devono includere le interfacce API interessate. |
2. "Tutte le comunicazioni sono protette indipendentemente dalla posizione della rete". |
Anche se le API sono progettate solo per un uso interno in un data center privato o in un ambiente cloud, è consigliabile implementare le funzioni di crittografia, autenticazione e autorizzazione come se si trattasse di un uso esterno, al fine di garantire l'integrità e la riservatezza dei dati. |
3. "L'accesso alle singole risorse aziendali viene consentito solo a seconda della specifica sessione". |
È consigliabile valutare l'attendibilità prima di concedere l'accesso ad una risorsa API. Ogni accesso va consentito con il minimo privilegio possibile. Utilizzate l'analisi comportamentale per monitorare l'utilizzo delle API e per valutare continuamente l'attendibilità. |
4. "L'accesso alle risorse viene stabilito in base a policy dinamiche (incluso lo stato osservabile dell'identità del client, di servizi/applicazioni e della risorse richiedente) e può includere altri attributi comportamentali e ambientali". |
Per applicare la ZTA alle API, dovete riuscire a identificare le entità coinvolte, dedurre il contesto aziendale e utilizzare l'analisi comportamentale per identificare deviazioni dai normali modelli di utilizzo. Un importante attributo del comportamento è il rifiuto del servizio tramite le chiamate API rapide. Ecco perché una mancanza di limitazione di velocità delle API viene classificata come "accesso illimitato a flussi aziendali sensibili" nell' elenco OWASP (Open Worldwide Application Security Project) con i 10 principali rischi per la sicurezza delle API. Come sottolinea il NIST , "queste regole e questi attributi sono basati sulle esigenze del processo aziendale e sul livello di rischio accettabile". |
5. "L'azienda controlla e misura l'integrità e il livello di sicurezza di tutte le sue risorse e di quelle associate". |
Questo requisiti è basato sul concetto del CDM (Continuous Diagnostics and Mitigation), come definito dalla CISA (Cybersecurity and Infrastructure Security Agency) statunitense.. Il CDM include elementi come la gestione delle risorse e delle vulnerabilità e la gestione delle configurazioni/impostazioni. Proprio come le risorse fisiche, le API devono essere continuamente rilevate, classificate e monitorate. Analogamente, le valutazioni costanti sulle vulnerabilità devono estendersi oltre le vulnerabilità delle reti e della sicurezza delle applicazioni tradizionali per includere possibili vulnerabilità basate sulle API. |
6. "L'autenticazione e l'autorizzazione delle risorse sono dinamiche e devono essere rigorosamente applicate prima di concedere l'accesso". |
Questo concetto può e deve essere esteso alle API. Le organizzazioni che adottano la ZTA devono eseguire un continuo monitoraggio dell'utilizzo delle API e utilizzare tecnologie automatizzate (ad es., credenziali di blocco, limite e revoca) per rispondere quando viene rilevato un comportamento anomalo o illecito all'interno del traffico delle API autenticato e autorizzato. |
7. "L'azienda deve raccogliere il maggior numero possibile di informazioni sullo stato corrente di risorse, infrastrutture di rete e comunicazioni e utilizzarle per migliorare il suo sistema di sicurezza". |
Per fungere da efficace componente di una ZTA, le misure di sicurezza delle API devono essere in grado di acquisire i dati per periodi prolungati (idealmente, il tempo appropriato per rilevare anche lievi abusi delle API) Questo livello di dettagli è necessario per eseguire un'analisi comportamentale sia per la valutazione dei rischi in tempo reale che per i costanti miglioramenti apportati alla progettazione della ZTA. Ciò include l'accesso on-demand ai dati sulle minacce e sulle API per identificare possibili miglioramenti alle policy. È necessario, inoltre, creare simili punti di integrazione con i workflow e gli strumenti operativi e di sviluppo utilizzati dai vostri team. |
Eseguite queste 7 procedure iniziali per estendere la ZTA in modo da includere le API
Una delle sfide più impegnative per la maggior parte delle organizzazioni che intendono adottare la ZTA è decidere da dove iniziare. Nel caso della sicurezza delle API, l'implementazione delle funzionalità riportate di seguito avrà un impatto immediato sul vostro sistema di sicurezza, offrendovi, al contempo, anche la base necessaria per integrare la sicurezza delle API nei vostri futuri piani per la ZTA.
Eseguite un continuo rilevamento delle API e mantenete un accurato inventario di tutte le API e le risorse accessibili tramite le API
Quando vengono rilevate API non autorizzate, assicuratevi di implementare workflow sistematici per gestirli o eliminarli
Implementate solide funzioni di autenticazione e autorizzazione delle API, indipendentemente se le API siano pubbliche o private
Identificate in modo proattivo le vulnerabilità delle API come disciplina costante, iniziando dall'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API
Sviluppate le funzionalità necessarie per analizzare grandi dataset relativi al traffico delle API per stabilire uno standard di comportamenti normali e per individuare eventuali anomalie
Integrate le informazioni sull'attendibilità e sulle minacce nei motori delle policy per la ZTA man mano che vengono implementate tramite le integrazioni delle API
Avviate risposte automatizzate quando emergono vulnerabilità, minacce e abusi delle API
Il primo passo
Integrate la sicurezza delle API nella vostra architettura ZTA. Scoprite cosa potete fare con Akamai API Security.
