A segurança de APIs nunca deve ser subestimada. Com a crescente demanda por projetos centrados em dados, as empresas rapidamente abriram seus ecossistemas através de APIs SOAP ou REST.
As Interfaces de Programação de Aplicações (ou APIs) são as portas para os dados mais protegidos de uma empresa. Elas são extremamente úteis porque permitem que duas aplicações diferentes se comuniquem.
À primeira vista, isso é ótimo, pois facilita a vida dos desenvolvedores, mas ao mesmo tempo, cria o seguinte desafio: como podemos manter essas portas abertas para o ecossistema de APIs e, ao mesmo tempo, protegidas contra hackers?
Existem estratégias de segurança para APIs que você pode empregar para aproveitar os benefícios que elas oferecem, mantendo todos os seus dados seguros. Vamos revisar algumas das melhores práticas de segurança para APIs. Aqui está um checklist com 12 dicas simples para evitar riscos de segurança e proteger suas APIs.
1. Criptografia
Seja criptográfico. Nada deve estar claro, seja em comunicações internas ou externas. A criptografia converte suas informações em código, tornando muito mais difícil que dados sensíveis caiam em mãos erradas.
Você e seus parceiros devem cifrar todas as trocas com TLS (Transport Layer Security) – (o sucessor do SSL), seja com criptografia unidirecional (TLS padrão) ou, melhor ainda, criptografia mútua (TLS bidirecional).
Use as versões mais recentes do TLS para bloquear o uso dos algoritmos de criptografia mais fracos.
2. Autenticação
Não fale com estranhos. Em termos simples, a autenticidade é real. Significa que algo (ou alguém) é quem diz ser. No mundo digital, a autenticação é o processo de verificar a identidade de um usuário, essencialmente retirando a máscara de qualquer pessoa que queira acessar suas informações.
Você deve sempre saber quem está acessando suas APIs. Existem vários métodos de autenticação:
- Autenticação básica HTTP, onde o usuário precisa fornecer um ID e senha.
- Chave de API, onde o usuário precisa de um identificador único configurado para cada API e conhecido pelo Gateway de API.
- Um token gerado por um servidor de Provedor de Identidade (IdP). O OAuth 2 é o protocolo mais popular que suporta esse método.
No mínimo, você deve usar uma chave de API (chave assimétrica) ou autenticação básica de acesso (usuário/senha) para aumentar a dificuldade de invasão ao seu sistema. No entanto, considere usar o OAuth 2 como o protocolo de escolha para uma segurança robusta das suas APIs.
3. OAuth & OpenID Connect
Delegue todas as responsabilidades. Um bom gestor delega responsabilidades, e uma grande API faz o mesmo. Você deve delegar a autorização e/ou autenticação das suas APIs a terceiros Provedores de Identidade (IdP).
O OAuth 2 é um mecanismo mágico que evita a necessidade de lembrar de milhares de senhas. Em vez de criar uma conta em cada site, você pode se conectar usando as credenciais de outro provedor, como Facebook ou Google.
Funciona da mesma forma para APIs: o provedor de API confia em um servidor de terceiros para gerenciar autorizações. O consumidor não deve inserir suas credenciais, mas sim fornecer um token fornecido pelo servidor de terceiros. Isso protege o consumidor, pois ele não divulga suas credenciais, e o provedor de API não precisa se preocupar em proteger dados de autorização, pois recebe apenas tokens.
O OAuth é um protocolo de delegação comumente usado para transmitir autorizações. Para proteger ainda mais suas APIs e adicionar autenticação, você pode adicionar uma camada de identidade sobre ele: este é o padrão OpenID Connect, que estende o OAuth 2.0 com tokens de ID.
4. Consulte especialistas em segurança
Não tenha medo de pedir ajuda. Chame especialistas em segurança. Use sistemas antivírus experientes ou servidores ICAP (Protocolo de Adaptação de Conteúdo na Internet) para ajudá-lo a escanear os payloads das suas APIs. Isso ajudará a prevenir que qualquer código ou dado malicioso afete seus sistemas.
Existem várias APIs de segurança que você pode usar para proteger seus dados. Elas podem fazer coisas como:
- Integrar autenticação de dois fatores.
- Criar login sem senha ou senhas de uso único baseadas em tempo.
- Enviar alertas se houver uma violação.
- Proteger contra vírus e malware.
- Prevenir fraudes.
- Informar se uma senha é conhecida por ser usada por hackers.
- Adicionar inteligência de ameaças.
- Fornecer monitoramento de segurança.
A melhor parte é que alguns desses sistemas antivírus são gratuitos. Outros oferecem planos mensais. Planos premium oferecerão mais proteção, mas você pode decidir o tipo de segurança que precisa.
5. Monitoramento: auditoria, logs e versão
Seja um stalker. Monitorar continuamente sua API e o que ela está fazendo pode ser recompensador. Seja vigilante como aquele pai superprotetor que quer saber tudo sobre as pessoas ao redor de seu filho ou filha.
Como fazer isso? Esteja pronto para solucionar problemas em caso de erro. Você deve auditar e registrar informações relevantes no servidor — e manter esse histórico enquanto for razoável em termos de capacidade para seus servidores de produção.
Transforme seus logs em recursos para depuração em caso de incidentes. Manter um registro completo ajudará a acompanhar e tornar qualquer coisa suspeita mais perceptível.
Além disso, painéis de monitoramento são ferramentas altamente recomendadas para acompanhar o consumo de sua API.
Não se esqueça de adicionar a versão em todas as APIs, de preferência no caminho da API, para oferecer várias APIs de diferentes versões funcionando e para retirar e depreciar uma versão sobre a outra.
6. Compartilhe o mínimo possível
Tudo bem ser excessivamente cauteloso. Lembre-se, é vital proteger seus dados.
Exiba o mínimo de informações possível em suas respostas, especialmente em mensagens de erro. Bloqueie assuntos e conteúdos de e-mail para mensagens predefinidas que não podem ser personalizadas. Como endereços IP podem revelar localizações, mantenha-os para si.
Use listas de permissão e de bloqueio de IP, se possível, para restringir o acesso aos seus recursos. Limite o número de administradores, separe o acesso em diferentes funções e oculte informações sensíveis em todas as suas interfaces.
7. Proteja APIs com throttling e quotas
Modere-se. Você deve restringir o acesso ao seu sistema a um número limitado de mensagens por segundo para proteger a largura de banda do sistema de acordo com a capacidade dos seus servidores. Menos é mais.
Você também deve restringir o acesso por API e por usuário (ou aplicação) para garantir que ninguém abuse do sistema ou de qualquer API em particular.
Limites de throttling e quotas – quando bem definidos – são cruciais para prevenir ataques vindos de diferentes fontes que inundam seu sistema com múltiplas requisições (DDoS – Ataque Distribuído de Negação de Serviço). Um DDoS pode bloquear usuários legítimos de acessarem seus próprios recursos de rede.
8. Validação de dados
Seja criterioso e recuse presentes surpresa, especialmente se forem significativamente grandes. Você deve verificar tudo que seu servidor aceita. Tenha cuidado ao rejeitar qualquer conteúdo ou dado adicional que seja grande demais, e sempre verifique o conteúdo que os consumidores estão enviando. Use validação de esquema JSON ou XML e verifique se seus parâmetros são o que deveriam ser (string, inteiro…) para prevenir qualquer injeção SQL ou bomba XML.
9. Infraestrutura
Esteja conectado e atualizado. Uma boa API deve se apoiar em uma boa rede de segurança, infraestrutura e software atualizado (para servidores, balanceadores de carga) para ser sólida e sempre se beneficiar das últimas correções de segurança.
10. OWASP Top 10
Evite vespas. O OWASP Top 10 (Projeto Aberto de Segurança em Aplicações Web) é uma lista das dez piores vulnerabilidades, classificadas de acordo com sua explorabilidade e impacto. Além dos pontos acima, ao revisar seu sistema, certifique-se de que todas as vulnerabilidades do OWASP estejam seguras.
11. Firewall de API
A segurança de sua API deve ser organizada em duas camadas:
- A primeira camada está na DMZ, com um firewall de API para executar mecanismos de segurança básicos, como verificação do tamanho da mensagem, injeções SQL, e qualquer segurança baseada na camada HTTP, bloqueando invasores precocemente. Em seguida, encaminhe a mensagem para a segunda camada.
- A segunda camada está na LAN, com mecanismos avançados de segurança no conteúdo dos dados.
Quanto mais desafiador você tornar para os atacantes cibernéticos acessarem suas informações, melhor.
12. Gateway de API (Gestão de API)
APIs sem gerenciamento são um dos maiores riscos de segurança das empresas modernas. A média de uma violação de segurança de API custa US$ 6,1 milhões e espera-se que quase dobre até 2030.
Todos os mecanismos de segurança de API mencionados acima podem ser longos de implementar e manter manualmente. Em vez de reinventar a roda, muitas empresas optam por uma solução de gerenciamento de API madura e de alto desempenho com todas essas opções para economizar dinheiro, tempo e recursos e aumentar seu tempo de colocação no mercado. Um gateway de API ajuda a proteger, controlar e monitorar seu tráfego.
Ele serve como um governador, para que uma organização possa gerenciar quem pode acessar uma API e estabelecer regras sobre como as solicitações de dados são tratadas.
Além de facilitar a segurança das APIs, uma solução de gestão de API ajudará você a compreender seus dados de API para tomar decisões técnicas e de negócios — a chave para o sucesso!
Bônus: um marketplace de API ajuda a reforçar as melhores práticas de segurança
Garantir que as APIs estejam protegidas exige uma defesa em camadas que começa com uma gestão centralizada de API e inclui medidas para estabelecer uma fortaleza robusta ao redor dos seus dados.
Um marketplace de API oferece um único registro para todos os seus ativos de API, facilitando a visualização (e a segurança) do que você possui, validando as APIs de acordo com sua política de segurança e colocando-as em produção rapidamente para gerar valor.
Não subestime a segurança das APIs
Infelizmente as ameaças na internet são abundantes, e os hackers são implacáveis. Implementar um plano sólido de segurança para APIs é crucial para proteger suas informações. De forma crucial, a melhor prática é incorporar a segurança de API na mentalidade geral e no processo de como as APIs são projetadas e desenvolvidas.
A plataforma Amplify da Axway facilita como nunca a segurança das suas experiências digitais. E com o Amplify Enterprise Marketplace, você pode unificar suas APIs distribuídas para permitir uma governança e segurança mais robustas, garantindo conformidade e gestão consistente do ciclo de vida das APIs. Você estará menos vulnerável a ataques cibernéticos, permitindo que você se concentre no que precisa ser feito.
Ao combinar a tecnologia certa com um processo mais deliberado, incorporando a segurança desde o início do processo de design, você pode descobrir e abordar ameaças de segurança antes que elas surjam.
Autores:
Aleksandr Nartovich
Arquiteto Principal de Pré-Vendas III
Carole Kennel
Especialista em Sucesso Digital
