Qué pueden hacer los administradores de centros de datos para proteger la API
Las API hacen que las características de la aplicación sean más ricas y dinámicas, pero también aumentan la superficie de ataque.
La interfaz de programación de aplicaciones o API es una forma para que múltiples programas informáticos se comuniquen entre sí. Por ejemplo, un sitio web puede usar una API para solicitar información de una base de datos o pasar la información a un servicio de terceros. Las aplicaciones móviles a menudo usan API para enviar datos de un lado a otro a un servidor central. Los sitios web tradicionales están siendo reemplazados rápidamente por sitios web altamente interactivos basados en API. La API también es la clave para las aplicaciones empresariales, reemplaza el mecanismo de intercambio de información original.
Según un informe publicado por Akamai a principios de este año, las llamadas API ahora representan el 83% de todo el tráfico web. Esto significa proporcionar aplicaciones más potentes y con más funciones, pero también implica mayores riesgos de seguridad. Según una encuesta realizada por la firma de investigación Gartner, para 2021, el 90% de las aplicaciones habilitadas para la Web tendrán una mayor superficie de ataque en forma de API expuestas en lugar de interfaces de usuario, en comparación con el 40% en 2019. Para 2022, el abuso de API se convertirá en el ataque más común.
Por ejemplo, la API de McDonald's expone los datos personales de los usuarios de sus aplicaciones de entrega móvil. Otras compañías que han causado violaciones de datos debido a API incluyen Facebook, Twitter, Panera Bread, T-Mobile, Instagram, Salesforce y Snapchat. Incluso el Servicio de Impuestos Internos encontró una fuga de datos API.
Israel Barak, director de seguridad de la información de la agencia de seguridad Cybereason, con sede en Boston, dijo: "En los últimos cinco o seis años, las API se han convertido en un problema creciente. La mayor interconectividad entre empresas, sistemas y aplicaciones se ha acelerado La adopción de API públicas. Luego vino el uso de servicios como microservicios y contenedores. "Tome una aplicación web para reservar vuelos como ejemplo. Si se trata de una aplicación monolítica tradicional, el usuario seleccionará un vuelo, obtendrá un presupuesto, pagará y reservará. Completarán todos estos pasos en orden. Barak dijo: "El proceso de transacción asegura que el primer paso ocurra antes del segundo paso".
Ahora, la misma aplicación en la red puede ser un conjunto de funciones independientes, cada una de las cuales llama a una API separada. Un pasajero puede enviar una solicitud al sistema de pago. Otro pasajero puede enviar a la aerolínea una solicitud para reservar un vuelo. Utilizando API públicas, los piratas informáticos pueden omitir el paso de pago e ir directamente al paso de reserva. Además, un atacante también puede secuestrar la API que confirma toda la información del usuario y obtiene los nombres, direcciones y detalles de pago de otros clientes.
A veces, incluso una API completamente inofensiva puede causar daños, dijo Barak. Por ejemplo, después de que el usuario selecciona el país donde se encuentra la ciudad, el formulario web generalmente proporciona una lista de ciudades. Si la lista de ciudades se proporciona a través de una API, un atacante puede enviar una gran cantidad de solicitudes falsas, suficientes para cerrar ese servicio en particular y detener la ejecución de todo el formulario web. Barak dijo: "Y el código de verificación no se puede usar porque no hay nadie al otro lado".
Ido Safruti, cofundador y director de tecnología de PerimeterX, una agencia de ciberseguridad con sede en San Mateo, dijo que cuando las personas usan API para verificar tarjetas de crédito y el acceso no está bloqueado correctamente, se producirá otro abuso común de API. Él dijo: "Puedo usar directamente la API e intentar verificar la tarjeta de crédito o tarjeta de regalo robada, lo cual es más fácil, porque no se necesita el nombre o código postal del usuario". Agregó: "El uso de esta API de terceros es muy difícil de bloquear Como operador del centro de datos, si su aplicación llama a una API fuera del centro de datos, es posible que no sepa nada al respecto ".
De fondo a primer plano En el pasado, las aplicaciones empresariales se comunicaban entre sí dentro de la red interna y podían ocultarse de forma segura detrás de un firewall. Cabe decir que esto significa que los problemas de acceso y autenticación no son demasiado estresantes para los desarrolladores. Implementar una gran cantidad de controles de seguridad puede ser engorroso, puede ralentizar el desarrollo e interferir con las funciones. Hoy en día, en el caso de que el centro de datos híbrido y todo esté nublado, la API no tiene la protección de firewall de la empresa, pero los desarrolladores a menudo olvidan este hecho y lo exponen accidentalmente.
El consultor de Bumber Security, Humberto Gauna, dijo: "La protección de la API no es difícil. Pero requiere una cierta cantidad de recursos, lo que aumentará el costo de la compañía". Sugirió que al construir una nueva API, las compañías deberían involucrar a profesionales de seguridad en las primeras etapas.
Por lo general, los gerentes de seguridad del centro de datos no tienen requisitos sobre cómo los desarrolladores escriben sus API. Pero pueden garantizar que las bases de datos internas y los servidores estén protegidos adecuadamente y que los servicios basados en la nube estén configurados correctamente. También pueden configurar puertas de enlace API para entornos locales e implementaciones de computación en la nube.
Las ventajas y desventajas de las puertas de enlace API No todos los expertos creen que las puertas de enlace API son una buena idea.
Cuando las empresas agregan todo el tráfico API a través de una o más puertas de enlace API, pueden garantizar que las políticas de seguridad básicas (como el cifrado, la autenticación y el control de acceso) se implementen por completo. La puerta de enlace también puede realizar otras operaciones, como el equilibrio de carga y la protección DDoS.
Las puertas de enlace API se pueden configurar para centros de datos locales, y la mayoría de los principales proveedores de computación en la nube los proporcionan como servicios para sistemas alojados en la infraestructura. Barak de Cybereason dice que el proceso comienza con la creación de un catálogo de todas las API expuestas por el centro de datos. Él dijo: "Este es un componente central de una buena plataforma de seguridad, pero muchas personas no lo adoptan. Mantener el catálogo actualizado es difícil, especialmente cuando se desarrollan nuevos microservicios y se lanzan en días o incluso horas. "A continuación, las empresas deben usar sus propios tokens (como claves API o identificadores OpenID) para identificar cada API y controlar el acceso a los datos y servicios basados en estos tokens. Barak dijo: "Sin un token de autorización, los desarrolladores empresariales no pueden exponer nuevas API, pero deben registrar las API".
Finalmente, el centro de datos puede establecer una puerta de enlace para el tráfico API. Dijo que al implementar canales seguros que incluyen cifrado y firmas, los centros de datos pueden tener un gran impacto en la seguridad API. Pero algunos expertos dicen que puede ser difícil involucrar a todos los desarrolladores en la empresa.
Adam Kujawa, director del proveedor de seguridad con sede en San José Malwarebytes Labs, dijo: "Esta será una opción ideal. Pero los operadores de centros de datos no pueden obligar a sus clientes a hacerlo. Sin embargo, lo que puede hacer es proporcionarlo a sus clientes o usuarios empresariales. Puerta de enlace API como servicio. Si no usan el servicio, deben asegurarse de que estén aislados para evitar infectar otras partes del centro de datos ". Otro desafío es que las puertas de enlace API no siempre se pueden implementar en todas las plataformas y entre proveedores Hay diferencias, lo que plantea desafíos para la gestión.
Además, la puerta de enlace API puede ser un único punto de falla, agregando complejidad y sobrecarga de administración. Doug Dooley, director de operaciones del teorema de datos de proveedores de seguridad de aplicaciones con sede en Palo Alto, dijo: "Nuestros clientes están construyendo microservicios, uno de los cuales es de una escala increíble y tiene docenas de datos en todo el mundo Desplegados en el centro, existen diferentes formas discretas de código, todas se comunican a través de API y hay miles de API en la empresa ".
Él dijo: "En este caso, no tiene sentido tratar de hacer cumplir todas las operaciones a través de la puerta de enlace API. No es escalable ni rentable, y es simple evitar este cuello de botella".
Tim Woods, vicepresidente de FireMon Technology Alliance, propuso un método distribuido para la seguridad API. Este método puede ser más dinámico y flexible. Para aplicaciones de computación de borde, la velocidad también es más rápida. Él dijo: "Cada vez que una empresa tiene que ir a un almacén central de compensación o una puerta de enlace central, debe preocuparse por los retrasos".
Nitzan Miron, vicepresidente de gestión de productos de seguridad de aplicaciones en Barracuda Networks, dijo que las compañías también han encontrado problemas para encontrar API para todas las actividades en la infraestructura. Esto es especialmente cierto cuando la infraestructura incluye nubes públicas. Dijo: "El inventario de red tradicional (escaneo del rango de IP) no tiene valor cuando la IP es asignada dinámicamente por proveedores de la nube pública o incluso por múltiples proveedores".
Pero agregó que las herramientas de puerta de enlace API han madurado y recientemente comenzaron a agregar funciones para auditar y controlar adecuadamente el acceso a la API. Él dijo: "A medida que estas herramientas maduren y sean fáciles de usar, el desafío de encontrar las herramientas correctas e instalarlas en todas las API y aplicaciones de la compañía sin interrumpir el negocio será cada vez más pequeño".