Segurança de gateway de API

As API estão em toda parte hoje em dia, permitindo que vários sistemas de software se comuniquem de maneiras que potencializam nosso mundo cada vez mais conectado. As API, ou interfaces de programação de aplicativos, apresentam um conjunto de regras e ferramentas para que diversos programas de software escritos em diferentes linguagens troquem informações e compartilhem funcionalidades. Os gateways de API oferecem um ponto centralizado para gerenciar, proteger e otimizar as chamadas de API, tanto solicitações quanto respostas.

Como são essenciais para muitos processos e geralmente se conectam a dados confidenciais, as API se tornaram o alvo favorito de agentes mal-intencionados. Assim, equipes de segurança devem adotar protocolos, práticas e medidas que garantam a segurança do gateway da API e protejam os microsserviços e os serviços de back-end subjacentes aos quais as API dão suporte.

Uma API é um conjunto de protocolos e definições para que componentes de software de sistemas diferentes ou escritos em linguagens diferentes se comuniquem e compartilhem informações com facilidade. Ao padronizar a forma como as aplicações se comunicam, as API permitem que uma aplicação acesse e incorpore dados e funções provenientes de outra aplicação. Por exemplo, quando desenvolvedores querem incluir as informações meteorológicas mais recentes em um site, podem usar uma API para acessar dados de uma fonte relacionada ao clima, em vez de criar seu próprio aplicativo para coletar e interpretar dados meteorológicos. As API estão envolvidas em quase todas as ações e transações online, desde comércio eletrônico e pagamentos móveis até plataformas de mídia social e serviços em nuvem, e com isso elas criam uma grande superfície de ataque.

As API estão na mira dos hackers, pois elas geralmente permitem acesso a dados confidenciais ou podem permitir que invasores tenham acesso não autorizado a sistemas maiores. Com a rápida proliferação das API, equipes de segurança geralmente desconhecem todas as API do ecossistema digital da organização, o que dificulta a proteção adequada de cada API com controles de segurança e patches e atualizações regulares. A segurança de APIs pode ser prejudicada por diversos riscos, incluindo explorações de vulnerabilidades, erros de autorização, problemas de autenticação e ataques de negação de serviço.

Um gateway de API é uma camada de software que serve como um ponto de entrada único para gerenciar chamadas de API ou solicitações de clientes e retornar respostas de pontos de extremidade de API. Os gateways de API encaminham as solicitações de entrada para o microsserviço ou serviço de back-end apropriado, combinando várias solicitações em uma única solicitação ou dividindo as solicitações únicas em várias solicitações para atender às necessidades do cliente com mais eficiência. Os gateways de API também traduzem protocolos entre diferentes aplicações e microsserviços e podem servir como balanceadores de carga para otimizar o desempenho da API.

Um gateway de API pode executar uma ampla gama de funções de segurança para evitar abusos e ataques à API e aprimorar a postura de segurança de uma organização.

• Autenticação. Os gateways de API podem validar credenciais, como tokens de ID, para autenticar a identidade de todas as solicitações de API.
• Restrição e limitação da taxa. As medidas de segurança do gateway de API incluem a capacidade de limitar o número de vezes que uma API pode ser chamada em um período de tempo específico para garantir que a capacidade de processamento não seja excedida ou sobrecarregada. Isso ajuda a evitar ataques de negação de serviço, bem como ataques de força bruta e ataques de tentativa e erro, em que os hackers tentam acessar sistemas tentando repetidamente várias credenciais.
• Aplicação de política. Os gateways de API podem impor políticas e regras, especialmente em relação à autenticação, autorização e controle de acesso, a serem seguidas ao acessar microsserviços e serviços de back-end.
• Proteção baseada em assinatura. As APIs podem bloquear determinadas ameaças reconhecendo as assinaturas e os padrões de ataques conhecidos.
• Registro e monitoramento. Os gateways de API permitem o monitoramento contínuo do tráfego de API e das métricas sobre o uso de API. Os gateways também podem manter um registro de todas as transações que fornecem informações sobre problemas de uso e segurança.
• Desvinculação. Para aumentar a segurança, um gateway de API desvincula os serviços de back-end das aplicações de front-end para eliminar qualquer contato direto entre eles. Isso pode ajudar a bloquear ataques de injeção de SQL, em que um código malicioso é injetado em bancos de dados de back-end.

Embora os gateways de API sejam uma parte importante de um programa de segurança, eles são apenas uma camada de proteção, portanto algumas vulnerabilidades de segurança continuam sendo uma ameaça. Ataques como autorização interrompida em nível de objeto (Broken Object Level Authorization, BOLA) podem aparecer como tráfego normal para um gateway de API, deixando os sistemas vulneráveis a ataques do tipo BOLA e autorização em nível de propriedade de objeto corrompida (Broken Object Property Level Authorization, BOPLA). Os gateways também não fornecem visibilidade suficiente do inventário de API para garantir que as equipes de segurança estejam cientes de todas as APIs e que cada API esteja protegida por controles e políticas apropriados. Por esse motivo, muitas organizações usam soluções adicionais de proteção de API em conjunto com um gateway de API para melhorar a visibilidade da superfície de ataque.

As organizações e suas equipes de segurança podem melhorar a segurança de gateway de API seguindo essas práticas recomendadas.

• Centralize a autenticação. Ao centralizar a autenticação da API no gateway, as organizações podem minimizar o risco de cada microsserviço tentar gerenciar independentemente o acesso, a verificação de tokens e outros elementos do processo de autenticação, o que pode levar à complexidade e a falhas de segurança.
• Implementar a limitação de taxa. O controle do número de solicitações de API pode evitar que o excesso de solicitações (mal-intencionadas ou legítimas) sobrecarregue os serviços e sucumba a ataques de DoS ou ataques de DDoS.
• Monitore continuamente. O monitoramento e a análise contínuos podem ajudar a detectar possíveis ameaças e resolver problemas de acesso e solicitação de clientes.
• Remova as API não utilizadas e obsoletas. Equipes de segurança podem aprimorar a segurança do gateway de API acompanhando todas as API e removendo aquelas que não são mais usadas ou que não são mais compatíveis com as medidas de segurança mais recentes.
• Ative um Web Application Firewall (WAF). A implementação de um WAF em programas de segurança de rede e API pode bloquear ameaças comuns, como ataques de injeção e scripting entre websites, limitando o acesso às API conforme regras e condições definidas.
• Utilize a análise comportamental. Uma solução de análise comportamental baseada em SaaS pode registrar todas as atividades de API para determinar uma linha de base para o comportamento normal. Em seguida, ele pode alertar sobre possíveis ameaças e recomendar respostas defensivas ou proativas.