01 O que é API?
A Enciclopédia Baidu fornece a definição de API:
API (Interface de Programação de Aplicativo) é um conjunto de funções predefinidas ou uma convenção para conectar diferentes componentes de um sistema de software. O objetivo é fornecer aos aplicativos e desenvolvedores a capacidade de acessar um conjunto de rotinas baseadas em um software ou hardware sem precisar acessar o código-fonte ou entender os detalhes do funcionamento interno.
Um entendimento simples é que API é uma forma de fornecer serviços aos clientes. Quando uma empresa ou data center fornece uma API aos clientes, significa que eles estabeleceram um conjunto de canais de URL dedicados e o serviço retorna dados puros após responder.
Em muitos casos, a própria API pode ser empacotada em um modelo de serviço. Por exemplo, a Weather Underground vende acesso à sua API de dados meteorológicos para terceiros, e a Huawei também possui um modelo de serviço para serviços de API que exige pagamento além do número gratuito de solicitações de API.
A interface API é a base para o compartilhamento e a abertura de dados.Com o avanço da digitalização, mais e mais empresas e data centers estão encapsulando serviços em interfaces de dados e abrindo-os para uso de terceiros.
De modo geral, as interfaces API são divididas em três categorias: API aberta, API orientada a parceiros e API interna. Conforme mostrado na Tabela 1.
| Tipo de AP |
Introdução |
| API aberta |
API aberta refere-se a uma interface de programa de aplicativo que o chamador não precisa para estabelecer um relacionamento cooperativo com o provedor de API, está aberta à rede pública e permite chamadas públicas. |
| API para parceiros |
API orientada a parceiros refere-se à interface do programa de aplicação para interação de dados, comunicação e integração de sistemas entre organizações e parceiros e usuários externos. |
| API interna |
APIs internas são usadas apenas dentro da organização e são interfaces de programação de aplicativos usadas para coordenar os relacionamentos de chamada entre diferentes sistemas e aplicativos internos. |
Tabela 1: Classificação API
Open API (OpenAPI) é a categoria mais utilizada pelos desenvolvedores. Por suas vantagens como padronização e versatilidade, é constantemente utilizado em cenários de atendimento que exigem atendimento rápido. Na era do compartilhamento aberto de dados, quase ninguém pode ignorar as APIs para construir sistemas de informação e aplicativos.
API é a base para compartilhamento e abertura. Conforme mostrado na Figura 1, o principal valor da API pode ser resumido em três pontos:
-
O compartilhamento aberto de dados nos permite alcançar os clientes com mais precisão e fornecer serviços mais sofisticados.
-
Por meio da agregação de interface API, realize a transformação de cenários de aplicativos e modelos de negócios
-
Acesse rapidamente dados massivos por meio de interfaces API para aumentar o valor dos dados
Figura 1 API é a base para compartilhamento e abertura
02 Principais riscos enfrentados pelas interfaces API
Os riscos de segurança das oito interfaces API a seguir requerem nossa atenção (Figura 2):
Figura 2 Principais riscos enfrentados pelas interfaces API
No passado, os aplicativos podiam ficar ocultos com segurança atrás de firewalls. Hoje em dia, as APIs se tornaram a chave para os aplicativos corporativos. Elas tornam os recursos dos aplicativos mais ricos e dinâmicos. Com a transformação digital, os dados estão constantemente conectados e as APIs se tornaram um importante elo de circulação de dados. Isso é bom, mas ao mesmo tempo a API também aumenta a superfície de ataque, não tem proteção de firewall e muitas vezes é exposta acidentalmente.
Os tipos de dados transmitidos pelas interfaces API são complexos e mutáveis, e algumas interfaces envolvem dados comerciais confidenciais e dados de privacidade pessoal. Quando ocorrer vazamento e roubo, as empresas enfrentarão enormes riscos de conformidade e riscos de vazamento de dados confidenciais. A razão por trás de muitas violações importantes de dados é que as APIs foram comprometidas, vazadas ou atacadas.
03 Soluções comuns para segurança de API
Em 2019, a OWASP divulgou os dez principais projetos de segurança de API. No entanto, devido ao amplo escopo da segurança de API, muitos problemas comuns de segurança não foram incluídos.
O mercado de segurança API está em um estágio relativamente inicial e não há muitos fabricantes nacionais especializados em segurança API. Do ponto de vista do mercado, existem duas categorias principais: soluções de gateway API e soluções de segurança API baseadas na análise de fluxo de dados.
1. Solução de gateway de API:
A solução usual é configurar gateways de API para implantações locais e na nuvem e fazer com que um data center os forneça como um serviço hospedado.
Infelizmente, nem todos os gateways de API são uma boa ideia. A maioria das APIs de proxy e gateways de API atualmente no mercado só consegue resolver alguns deles e não pode fornecer proteção abrangente contra esses riscos.
É claro que os gateways de API têm suas vantagens: ao agrupar todo o tráfego de API por meio de um gateway de API, você pode garantir que as políticas básicas de segurança (como criptografia, autenticação e controle de acesso) sejam totalmente implementadas, bem como implementar políticas como balanceamento de carga e proteção DDoS.
Esta parece ser uma escolha ideal, mas a realidade é muito tênue.
Primeiro, todo o processo precisa começar com a criação de um diretório de API, incluindo todos os diretórios de API expostos pelo data center. Mas manter o catálogo atualizado pode ser difícil, especialmente na era atual de rápidas atualizações iterativas, em que novos serviços são lançados em dias ou até horas.
Em segundo lugar, use tokens para identificar cada API e controlar o acesso a dados e serviços. Os desenvolvedores sem tokens de autorização não podem expor novas APIs. Mas a prática de algumas empresas mostra que envolver todos os desenvolvedores pode ser mais difícil do que se imagina.
Terceiro, é uma ideia maravilhosa fornecer o gateway de API como um serviço gerenciado, mas o data center não pode e não pode forçar os clientes a fazê-lo.
Quarto, pontos únicos de falha e atrasos no gateway central são perigos ocultos que os gateways de API não podem evitar, o que aumenta a complexidade do data center e a sobrecarga de gerenciamento. Com milhares de APIs corporativas se comunicando por meio de APIs, ter um único ponto de falha e latência é um pesadelo.
2. Solução de segurança API baseada na análise de fluxo de dados
Use a tecnologia de IA e o aprendizado profundo de pequenas amostras para analisar o comportamento e o tráfego de acesso da API para descobrir vários comportamentos de acesso anormais das APIs. Este tipo de solução de segurança API baseada na análise de fluxo de dados pode alcançar proteção dinâmica em todos os cenários e inclui principalmente quatro categorias, conforme mostrado na Figura 3.
Figura 3 Proteção dinâmica de cenário completo da API
Proteção de chamadas ilegais: inclui principalmente a prevenção de chamadas de API não autorizadas, detecção de mecanismos de verificação de segurança de API, identificação de acesso não autorizado de API, detecção de passagem, etc.
Proteção de acesso malicioso: inclui principalmente monitoramento contínuo do comportamento de acesso à interface API, identificação de acesso de ataque à interface API, etc.
Prevenção de vazamento de dados: inclui principalmente o monitoramento de interfaces API para transmitir dados confidenciais, evitando que dados confidenciais sejam obtidos fora do alcance, etc.
Prevenção de abuso: inclui principalmente monitoramento de comportamentos de acesso de alta frequência de interfaces API, identificação de comportamentos de rastreamento de dados de interface API, acesso anormal a endereços de contas de alto privilégio, identificação de comportamentos de análise de agregação de dados de interface API, etc...