January 2, 2017
Lucas
Tempestini

API e Segurança: Como melhorar a sua estratégia

A segurança de APIs e de soluções tecnológicas relacionadas tem recebido grande atenção e investimentos por parte das empresas de tecnologia. Isso se explica se observarmos os ataques e vazamento de dados dos últimos anos, os quais aumentaram e atingiram grandes empresas com operações focadas em tecnologia, como Snapchat, LinkedIn, Tesla Motors, Sony, Bit.ly.

Confira o vídeo abaixo da Trilha de Segurança de APIs:

Veja como melhorar a segurança das APIs e como mitigar riscos

No momento de desenvolver e de consumir uma API, a proteção e confiabilidade são preocupações constantes, especialmente se informações sensíveis trafegarem através dessas APIs. A preocupação com a segurança das APIs se faz presente em todos os níveis de criticidade, mas alguns aspectos devem guiar melhor os esforços de segurança em função da finalidade das APIs, sejam para integrações internas apenas ou para integração com milhares de aplicações externas, recursos disponíveis, caso os dados trafegado sejam sensíveis e até mesmo de acordo com os métodos disponíveis.Alguns aspectos da sua API precisam de uma atenção na hora de elaborar políticas de segurança para sua API, e os pontos que mais demandam são:

Alguns aspectos de Segurança de API

Todavia, é possível minimizar esses riscos se boas práticas forem utilizadas e difundidas entre desenvolvedores, clientes, parceiros e todos aqueles que venham a interagir com a sua API. Sendo assim, separamos algumas delas a seguir. Confira!

Autenticação / Autorização

Você precisa garantir que quem está acessando a sua API é quem diz ser e se essa pessoa tem acesso aos dados que está tentando acessar.Para garantir o acesso a sua API, você pode implementar alguns padrões de autenticação e autorização como por exemplo:

  • AppToken
  • OAuth2
  • OpenID Connect
  • Basic HTTP

Cada padrão tem diferentes mecanismos de segurança que desempenham melhor dependendo do tipo de cenário a ser encarado e alguns funcionam de forma complementar, como por exemplo o OAuth2 e o OpenID Connect, enquanto isso, alguns padrões como o Basic HTTP já vem sendo substituído por outros padrões há algum tempo.

Disponibilidade

Algumas operações são extremamente dependentes de APIs, e por conta disso elas precisam ter uma alta disponibilidade, atualmente a disponibilidade da sua API é satisfatória?A disponibilidade pode ser afetada de várias formas, ataques DDoS, Buffer Overflow ou até mesmo injeções de códigos maliciosos.Algumas medidas contra ataques que miram a disponibilidade da sua API são:

  • Políticas de Rate Limiting / Throttling
  • JSON / XML Threat Protection
  • Limites de tamanho de Payload
  • IP Filtering (Blacklists e Whitelists)

Privacidade

As informações que você está trafegando, estão chegando às pessoas corretas? Essa é uma preocupação com a privacidade dos dados, alguns dos ataques mais comuns à privacidade da sua API são Man-in-the-Middle, Data Scraping e a revelação de dados sigilosos.Para mitigar esses riscos a primeira dica é: Utilize SSL/TLS. Se não for suficiente, você pode recorrer a criptografias adicionais, mas utilize os algoritmos já comprovados! :)Adquirir um certificado TLS (Transport Layer Security) é simples e até barato, por isso é fundamental que esse item não fique de lado. O uso de SSL aumenta a segurança na troca de informações entre aplicativos/servidores, aumentando a veracidade do conteúdo e sua integridade. Todavia, é preciso um bom planejamento para a aplicação dessa criptografia, caso contrário, poderá abrir brechas de validação de certificado.Nessas brechas, invasores poderão usar ferramentas de interceptação de dados e certificados falsos para conseguir dados como senhas, logins, chaves de API e outras informações dos usuários.A expansão dos dispositivos móveis, a ampliação das redes sociais e o surgimento de novas tecnologias, como Cloud Computing e Internet das Coisas (IoT), tende a multiplicar as APIs e veremos, cada vez mais grandes, médias, pequenas e até microempresas buscando novas oportunidades através de APIs.Dessa forma, essas organizações poderão desenvolver novas soluções para gerarem receitas e atenderem o público de forma eficaz num ambiente cada vez mais dinâmico. Portanto, investir em segurança de APIs é fundamental não só para proteger dados e informações, mas também para garantir a confiabilidade e potencialidade de novas aplicações.Quer aprender mais sobre esse assunto de forma aprofundada? Então assista nosso webinar “Os Fundamentos da Segurança de APIs”!

Sensedia - Como melhorar a segurança das APIs

Obrigado pela leitura!

Voltar ao arquivo