Como garantir mais segurança às suas APIs
Relatórios recentes do mercado de tecnologia mostraram que as APIs têm sido alvo constante de ciberataques. Para garantir o mínimo de segurança ao seu ambiente e não se tornar uma estatística negativa, é preciso seguir uma série de ações. Fabricio Alves, arquiteto de soluções na Sensedia, explica o que fazer para minimizar os riscos de sofrer um ataque e destaca um conceito fundamental para as empresas: o Zero-trust network.
Se quiser conferir a entrevista no formato de áudio, é só dar o play!
Como evitar que a minha empresa entre para essas estatísticas negativas de ataques virtuais?
Fabricio: Primeiramente, é muito importante listar todos seus pontos de exposição. Não apenas exposições externas - quando seu parceiro ou cliente acessa sua API ou aplicação (esta também é um ponto de exposição) - mas também a parte de acessos internos.
É de conhecimento do mercado e da área de segurança que a maioria dos crackers visam burlar a segurança eletrônica para obter vantagens pessoais ou prejudicar pessoas e empresas. Em geral, os crackers criam softwares maliciosos e exploram vulnerabilidades para benefício próprio.
Depois, é importante delegar a responsabilidade desse ponto de exposição para uma ferramenta profissional para gestão de acesso, que forneça uma governança adequada e que esteja nesse middleware de comunicação entre o seu consumidor e a sua solução de APIs ou de aplicação.
O que recomendamos fortemente é usar um API Management de mercado. Se você garante que tudo está passando pelo seu API Management, isso vai garantir o canal, a autenticação, a autorização e a criptografia - que tudo esteja seguindo conforme você definiu nas regras de segurança para exposição das suas informações. Isso, claro, se a ferramenta escolhida atenda todas essas capacidades, que são o mínimo. Depois, você começa a pensar nos cenários mais complexos.
Com todos os itens de exposição levantados e uma uma plataforma profissional de middleware, o que é preciso fazer em seguida?
Fabricio: Recomendo que sigam uma estratégia de Zero-trust network. Basicamente, você faz passar pela sua plataforma de API Management e bloqueia todos os acessos, por padrão. Depois, você libera os acessos para os consumidores que você reconhece, através de mecanismos de autenticação e autorização. Nesta fase, é preciso seguir uma estratégia reconhecida e segura de mercado, como PKCE, utilizado no ecossistema Open Finance, ou o simples e sempre seguro OAuth2. No caso da autorização, não existe melhor estratégia como o plano de acesso que mencionei na resposta da primeira pergunta.
E não é só você colocar a plataforma e dar permissão de acesso, é monitorar o que estão fazendo. Geralmente, plataformas de API Management mais capacitadas oferecem ferramentas de sniffer, que monitoram o que está sendo consumido. É muito importante que isso ocorra, para entender se realmente o consumo está acontecendo de forma saudável ou não, podendo, inclusive, incluir mecanismos de IA para auxiliá-lo.
Inicie sua jornada conosco
Estamos prontos para guiar o seu negócio rumo ao futuro, com a solução certa para você se beneficiar do potencial das APIs e integrações modernas.
Conteúdos relacionados
Confira os conteúdos produzidos pela nossa equipe
Sua história de sucesso começa aqui
Conte com nosso apoio para levar as melhores integrações para o seu negócio, com soluções e equipes profissionais que são referência no mercado.