quarta-feira, 7 de outubro de 2015

Onze maneiras de explorar APIs sem se expor a riscos desnecessários

Segurança nunca é demais. Com o advento da Internet das Coisas (IoT), que promete abrir novas portas para os negócios digitais, mas que também representa novos desafios de segurança, garantir o perfeito funcionamento da rede é cada vez mais importante para qualquer empresa que queira explorar as possibilidades que esse mundo novo oferece.

Nesse contexto, as forças disruptivas do mercado e as tecnologias emergentes estão exigindo que muitas companhias, em todos os setores, definam e percorram um caminho de transformação que abrange a economia baseada em APIs e a evolução ao negócio digital. Isso significa estar pronto e ser capaz de usar a nuvem, os dados móveis e IoT para propor novos modelos de negócios e ofertas de produtos.

Uma boa gestão de API permite desenvolver, integrar, proteger e gerenciar APIs de maneira unificada - entre projetos, desenvolvedores e comunidades - para ter acesso a todas as vantagens desse contexto emergente. Obviamente, isso representa novos problemas de segurança já que esse novo ecossistema ainda está sendo estabelecido.


Você está pronto? Veja uma lista de onze maneiras de ajudar a garantir a segurança.

1. Use padrões de projeto. Eles permitem escalabilidade e maneabilidade (como modelo-abordagem-controlador) e separam as questões com base na capacidade do sistema em avaliar uma solicitação em função da política de controle de acesso

2. Conheça e retenha seus ativos. Defina e aplique a diretiva de segurança para alcançar o mesmo controle granular para as APIs de seus usuários

3. Projete visando o malware. Não estabeleça confiança ingenuamente. Aplique serviços de defesa não contornáveis (incluindo validação de entrada, filtragem de conteúdo, codificação dos resultados e rotinas de limpeza de dados) em todos os dados tratados por suas APIs.

4. Monitore as falhas do lado do servidor. Os servidores detêm as chaves do reino. Registre os pedidos de acesso a todas as APIs, monitore todas as tentativas de acesso para ataques de força bruta e/ou laterais, e use um controle de acesso baseado em risco que se adapte à maneira como o aplicativo é usado.

5. Pense mobile e além. Centralize o cumprimento da segurança com um gateway de API para autenticação e autorização, incluindo a aplicação de protocolos de OAuth e gerenciamento de tokens.

6. Pense em sessões, não apenas em APIs. Como você irá coordenar o tempo limite da sessão? Como você sincronizará os identificadores? Três ou mais ciclos de vida completos (geração, propagação, utilização, tempo limite e reinstanciação) devem trabalhar juntos de forma coesa e em conformidade com a diretiva de segurança.

7. Faça com que a segurança seja inquestionável para os usuários. Certifique-se que o modo padrão (ou o único modo) seja do mais alto nível de segurança que o sistema pode alcançar e não peça aos usuários para alternar ou atualizar as configurações de segurança por conta própria.

8. Simplifique a experiência do desenvolvedor. Evite a degradação do desempenho e DoS, escalada de privilégios e outras questões de segurança, definindo um modo de API padrão em conformidade com a política de segurança de sua empresa.

9. Nomeie um curador de API. É uma habilidade interpessoal — mais processo do que tecnologia — mas ela pode levar você a assumir um papel estratégico na mudança necessária para garantir uma implantação de API mais segura para sua empresa.

10. Seja bidirecional. As APIs terão cada vez mais que falar um amplo espectro de diferentes protocolos e assumir papéis não tradicionais em que servidores iniciam as comunicações, incluindo notificações, Websockets e SMS.

11. Concentre-se nos dados. As pessoas e empresas precisam deles e eles são o principal alvo de possíveis ataques. Concentrar-se nos dados deve ser um princípio fundamental de qualquer programa de arquitetura de segurança, seja a tecnologia FTP, web ou API móvel.

*Marcelo Ramos é vice-presidente sênior e gerente geral da Axway para a América Latina.

Fonte: Computer World

Nenhum comentário:

Postar um comentário