Segurança de APIs em um mundo Zero Trust
Agora, mais do que nunca, o conceito tradicional de um perímetro de segurança está mudando. Isso está levando muitas organizações a adotar os princípios da arquitetura Zero Trust (ZTA), muitos dos quais se concentram na avaliação da confiança do usuário e no controle do acesso a redes, sistemas e dados confidenciais por meio de interfaces principais do usuário.
No entanto, muitas iniciativas ZTA negligenciam o aumento da prevalência de acesso baseado em API (interface de programação de aplicações) a dados e funcionalidades de aplicativos confidenciais, pois estão projetando maneiras de avaliar a confiança continuamente.
Na publicação deste blog, destacaremos alguns dos pontos de intersecção entre APIs e a arquitetura Zero Trust. Também descrevermos algumas medidas iniciais que você pode tomar para ampliar sua ZTA para incluir APIs.
O que é Zero Trust?
Em 2010, a Forrester Research apresentou os princípios da ZTA para o público de segurança empresarial tradicional. Desde então, o design da ZTA melhorou muito, tanto pela Forrester quanto por inúmeras outras partes interessadas do setor, incluindo o National Institute of Standards and Technology na NIST Special Publication 800-207.
De forma simplificada, o Zero Trust pressupõe que nenhum usuário ou dispositivo pode ser confiável por padrão. Em vez disso, qualquer um dos dois deve estar sujeito à avaliação sempre que se tenta acessar um recurso confidencial e, em seguida, deve ser avaliado continuamente a partir de então.
Durante muitos anos, a ZTA era mais um tópico de discussão do que algo que as organizações estavam buscando no mundo real. Mas a migração global de trabalhadores para suas casas estimulada pela pandemia de COVID-19 fez com que muitas organizações avançassem com planos tangíveis para adotar os princípios da ZTA.
Onde as APIs e o Zero Trust se cruzam?
O NIST SP 200-807 descreve sete princípios básicos da ZTA. Embora esses princípios abranjam muito mais do que o acesso baseado em API à funcionalidade e aos dados da aplicação, eles também têm pontos de interseção muito claros com a estratégia de API de uma organização.
Os sete princípios básicos do Zero Trust
A tabela a seguir inclui os sete princípios básicos da ZTA, conforme definido no NIST SP 200-807, com recomendações para alinhar as práticas de segurança de API da sua organização com esses princípios.
Os sete princípios básicos da arquitetura Zero Trust |
Implicações da segurança de APIs |
|---|---|
1. "Todas as fontes de dados e serviços de computação são considerados recursos." |
Muitas das aplicações e fontes de dados dentro do escopo da arquitetura Zero Trust são acessíveis por meio de APIs, além de interfaces diretas do usuário. Portanto, interfaces de APIs devem fazer parte das suas verificações de autorização e do seu modelo de aplicação de políticas com base na arquitetura Zero Trust. |
2. "Toda a comunicação é protegida, independentemente da localização da rede." |
Mesmo que as APIs sejam destinadas apenas para uso interno em um data center privado ou ambiente de nuvem, você deve implementar criptografia, autenticação e autorização como se estivessem externamente para garantir a confidencialidade e a integridade dos dados. |
3. "O acesso a recursos empresariais individuais é concedido por sessão." |
Você deve avaliar a confiança antes de conceder acesso a um recurso de API. O acesso deve ser concedido com os privilégios mínimos possíveis. Use análises comportamentais para monitorar o uso da API e avaliar continuamente a confiança. |
4. "O acesso aos recursos é determinado pela política dinâmica, incluindo o estado observável da identidade do cliente, da aplicação/do serviço e do ativo solicitante, e pode incluir outros atributos comportamentais e ambientais." |
Para aplicar a ZTA às APIs, você deve ser capaz de identificar as entidades envolvidas, inferir o contexto de negócios e usar a análise comportamental para identificar desvios dos padrões de uso normais. Um atributo comportamental importante é a negação de serviço por meio de chamadas rápidas de API. É por isso que uma falta de limitação da taxa de API é categorizada como Acesso irrestrito a fluxos de negócios confidenciais na lista dos 10 principais itens de segurança do Open Worldwide Application Security Project (OWASP). Conforme as observações do NIST, "Essas regras e atributos se baseiam nas necessidades do processo empresarial e no nível aceitável de risco." |
5. "A empresa monitora e mensura a integridade e a postura de segurança de todos os ativos pertencentes e associados." |
Esse requisito se baseia no conceito de Diagnóstico e mitigação contínuos (CDM) definido pela CISA (Agência de Segurança de Infraestrutura e Segurança Cibernética) dos EUA. O CDM inclui elementos como gerenciamento de ativos, gerenciamento de vulnerabilidades e gerenciamento de configurações. Assim como os ativos físicos, as APIs devem ser continuamente descobertas, classificadas e rastreadas. Da mesma forma, as avaliações contínuas de vulnerabilidade devem se estender além da rede tradicional e das vulnerabilidades de segurança de aplicações e incluir possíveis vulnerabilidades baseadas em API. |
6. "Todas autenticações e autorizações de recurso são dinâmicas e rigorosamente aplicadas antes que o acesso seja concedido." |
Esse conceito pode e deve ser estendido às APIs. As organizações que adotam a ZTA devem realizar o monitoramento contínuo do uso da API e usar a tecnologia automatizada (por exemplo, bloquear, limitar, revogar credenciais) para responder quando um comportamento anormal ou abusivo é detectado dentro do tráfego de API autenticado e autorizado. |
7. "A empresa coleta o máximo possível de informações sobre o estado atual dos ativos, a infraestrutura de rede e as comunicações e as utiliza para melhorar sua postura de segurança." |
Para ser um elemento eficaz de uma ZTA, suas medidas de segurança de API devem ser capazes de capturar dados por períodos prolongados. Idealmente, a captura deve ser feita tempo suficiente para que possa ser detectado um abuso de API sutil. Esse nível de detalhes é necessário para realizar análises comportamentais tanto para avaliação de riscos em tempo real quanto para melhorias contínuas no projeto da ZTA. Isso inclui fornecer acesso sob demanda à API e dados de ameaças aos caçadores de ameaças para uso na identificação de possíveis melhorias de políticas. Pontos de integração semelhantes também devem ser criados com as ferramentas de desenvolvimento e operacionais e fluxos de trabalho que suas equipes usam. |
Siga estas 7 etapas iniciais para estender sua ZTA para incluir APIs
Um dos maiores desafios para a maioria das organizações que desejam adotar a ZTA é decidir por onde começar. No caso da segurança de APIs, a implementação dos seguintes recursos causará um impacto imediato em sua postura de segurança, ao mesmo tempo em que oferece a base necessária para incorporar a segurança das APIs em seus futuros planos ZTA.
Implemente a descoberta contínua de APIs e mantenha um inventário preciso de todas as APIs e ativos acessíveis por API
À medida que APIs não sancionadas são descobertas, certifique-se de que fluxos de trabalho sistemáticos estejam em vigor para trazê-las para o gerenciamento ou eliminá-las
Implemente autenticação e autorização de API sólidas, independentemente de as APIs serem públicas ou privadas
Identifique proativamente vulnerabilidades de API como uma disciplina contínua, começando com o OWASP API Security Top 10
Desenvolva os recursos para analisar grandes conjuntos de dados de tráfego de APIs e determinar uma linha de base para o comportamento normal e realizar a detecção de anomalias
Alimente os insights de ameaças e confiança nos mecanismos de políticas da ZTA à medida que são implementados por meio de integrações de API
Inicie respostas automatizadas quando vulnerabilidades, ameaças e abusos da API surgirem
A primeira medida
Incorpore a segurança de APIs à sua ZTA. Veja o que é possível com a Akamai API Security.
