API Gateway: o que é e como ele amplia a segurança?
Publicado por em
6 minutos para ler
O relatório API Security Trends 2024 examinou como as empresas têm protegido suas APIs, e descobriu que o tópico “segurança em API” se tornou um dos principais temas de discussão executiva, segundo 46% dos entrevistados.
O assunto tem ganhado notoriedade pelos inúmeros perigos e ameaças que têm circundado as interfaces de programação de aplicações, consideradas, hoje, peças-chave para conectar tecnologias e acelerar os projetos de transformação digital.
De acordo com o relatório da Salt Labs, os invasores têm usado uma gama cada vez mais diversificada de táticas e explorações de vulnerabilidades para invadir e comprometer a segurança de APIs. Dos entrevistados, 95% dizem estar lutando fortemente para conter os incidentes relacionados às APIs.
Dados dessa magnitude ligam um alerta sobre quais estratégias podem e precisam ser aplicadas dentro dos ambientes corporativos, de modo a barrar a ação desses agentes maliciosos.
Especialistas da Engineering reforçam que a autenticação e autorização são medidas estratégicas que contribuem para a superação desse desafio, principalmente quando falamos em APIs modernas.
Hoje, vamos entender mais sobre os procedimentos!
Autenticação: como garantir a identidade do usuário
A autenticação é um procedimento de segurança que consiste em verificar se o usuário é quem diz ser, validando sua identidade.
No dia a dia, esse tipo de procedimento tem se tornado cada vez mais comum no uso de sites e aplicativos, com os programas solicitando que os usuários forneçam credenciais seguras, como senhas, para confirmar a sua identificação.
No universo de API, o processo de autenticação pode ser realizado de três formas:
- Combinando login e senha;
- Usando tokens (como, por exemplo, OAuth ou JWT)
- Ou, então, solicitando chaves de API (que atuam como um cartão de identidade digital).
Autorização: controlando o acesso a dados sensíveis
Já a autorização é um procedimento que envolve determinar os níveis de acesso e permissões que o usuário terá.
Em uma estratégia de segurança de API robusta, o objetivo da autorização é, após o usuário provar que é ele mesmo por meio da autenticação, permitir que apenas as áreas apropriadas e os dados sensíveis autorizados das APIs possam ser acessados por ele.
Esse processo de autorização também depende de uma credencial digital, que pode ser um token ou então uma chave.
Porque a dupla autenticação e autorização são medidas de segurança em API robustas?
Separadamente, os procedimentos podem não ter tanto efeito em uma estratégia de segurança em API, pois a autenticação apenas verifica a identidade do usuário, mas não controla o acesso aos recursos.
Porém, a união desses dois mecanismos de segurança faz com que os times responsáveis pelas APIs criem uma barreira sólida que é praticamente impossível de ser contornada.
Mesmo que uma pessoa consiga passar pelo processo de autenticação, por exemplo, isso não necessariamente significa que ela conseguirá acessar as informações, os recursos e os dados sensíveis das APIs. Para que isso seja possível, ela também teria que passar pelo processo de autorização.
Melhores práticas de autenticação e autorização em APIs
Assim como qualquer procedimento envolvendo segurança de API e segurança de endpoints, a autenticação e autorização requerem boas práticas para firmar sua eficácia.
São elas:
- Utilizar OAuth 2.0: permite que aplicativos acessem recursos em nome de um usuário, fornecendo um token de acesso. Dessa forma, senhas não são compartilhadas diretamente, o que diminui o risco de exposição.
- Implementar tokens de curta duração: os tokens de curta duração limitam a exposição caso sejam comprometidos. Quando expiram rapidamente, um invasor terá menos tempo para usá-los, e esse controle também força a renovação de credenciais.
- Autenticação multifator (MFA): requer que os usuários provem sua identidade de mais de uma maneira (algo que sabem, como uma senha, e algo que possuem, como um código enviado por SMS).
- Criptografar tokens e chaves de API: a medida serve para proteger tokens e chaves de API tanto em trânsito quanto em repouso, evitando que terceiros leiam informações sensíveis, mesmo que interceptem o tráfego.
- Políticas de rotação de credenciais: ao manter as credenciais atualizadas regularmente, os times forçam a expiração e regeneração de chaves e tokens. Essa ação mitiga o risco de um token ser reutilizado por longos períodos.
- Rate limiting e throttling: essas técnicas ajudam a prevenir ataques de negação de serviço (DDoS), em que APIs podem ser sobrecarregadas por uma quantidade massiva de requisições.
- Monitoramento e logging de acesso: permitem uma resposta rápida a incidentes de segurança, como acessos não autorizados ou falhas de login repetidas.
- Validar dados de entrada: APIs são frequentemente alvo de ataques como injeções de SQL e de código. Fazer a validação dos dados que entram no sistema ajuda a evitar que entradas maliciosas comprometam a segurança da API ou do banco de dados.
- Usar TLS/SSL: garante que todas as comunicações entre cliente e servidor sejam criptografadas, impedindo, assim, que dados sejam interceptados e visualizados por terceiros durante a transmissão.
- Escopo e permissões granulares: atribuir permissões específicas com base no nível de necessidade de acesso de cada usuário minimiza a exposição de informações em caso de comprometimento de credenciais. Tokens devem ter escopos limitados (por exemplo, um usuário pode acessar apenas dados financeiros, e não pessoais).
LEIA TAMBÉM | Autenticação e autorização em APIs: como garantir a segurança de endpoints
Monitoramento e manutenção contínua com o DHuO
Ainda que a segurança em API venha ocupando um espaço cada vez mais significativo nas pautas de executivos e diretores, o número de organizações com programas de segurança avançados ainda é muito baixo. O relatório da Salt Labs indica que esse número está na casa de 7,5%.
A implementação de mecanismos como autenticação e autorização se faz urgente, mas é necessário reconhecer que só os procedimentos não serão o bastante para barrar incidentes, caso os times não adotem uma estratégia REST API ou não alimentem uma cultura voltada para a governança de API.
O DhuO API Plus é uma ferramenta desenvolvida pela Engineering para que questões relacionadas à falta de governança não sejam mais um problema. A partir do DHuO, profissionais podem monitorar e fazer a manutenção contínua das suas APIs, reforçando a segurança dessas tecnologias que impulsionam cada vez mais o mundo moderno. Garanta a governança de suas APIs com o DHuO.
