Conceito Zero Trust na proteção das APIs

Por Monica Nietsche em

A segurança das APIs pode se beneficiar significativamente do conceito de Zero Trust. Ao invés de assumir que tudo dentro de um perímetro de segurança é confiável, o Zero Trust opera sob a premissa de “nunca confie, sempre verifique”.

Ou seja, cada solicitação de acesso, independentemente de sua origem, deve ser autenticada, autorizada e validada continuamente.

Claro que há exceções onde uma simples consulta de um catálogo como, por exemplo, uma lista de cidades, não representa acesso a dados sensíveis.

Mas é fundamental ter a consciência de que as abordagens de segurança tradicionais, como defesas de perímetro, dependem fortemente da confiança implícita dentro dos limites da rede.

No entanto, a proliferação das APIs, muitas vezes abrangendo diferentes limites de confiança, torna esses métodos obsoletos.

Ataques podem vir de qualquer lugar, mesmo dentro da rede, tornando essencial validar continuamente cada solicitação. É vital adotar uma visão não somente Norte-Sul, mas também Leste-Oeste!

À medida que as organizações migram para arquiteturas de microsserviços e implantações em nuvem, as fronteiras de rede tradicionais se tornam menos definidas.

O conceito de Zero Trust complementa essas arquiteturas modernas, garantindo que a segurança seja aplicada de forma consistente em todos os componentes e solicitações, independentemente da localização.

Se levarmos em conta a explosão da criação de APIs, inicialmente potencializada pela pandemia e pela transformação digital, e ainda mais com o uso atual de inteligência artificial generativa no desenvolvimento de aplicações, o desafio de fazer um simples inventário se torna um verdadeiro pesadelo. O que dizer então de se proteger as APIs!

Certamente o conceito de Zero Trust é mais abrangente e inclui, entre outros, rede, dispositivos móveis, aplicações internas e armazenamento.

O que estamos detalhando aqui é a extensão deste tipo de abordagem para as APIs, que hoje são sem dúvida um importante vetor de ataques às empresas.

Seguem algumas recomendações básicas quando pensamos na proteção de APIs:

  1. Utilizar protocolos seguros de criptografia na comunicação e no armazenamento de dados;
  2. Autenticação forte sempre! Oauth2/OpenID são fundamentais! Todo e qualquer acesso a um Endpoint/Rota que entregue um dado sensível deve obrigatoriamente estar autenticado;
  3. Implementar mecanismos de autorização para permitir acesso somente ao necessário. Nada é confiável até se prove o contrário! Dispositivos, pessoas, aplicações etc.

Para a redução das ameaças e preservação da integridade dos sistemas é crucial a avaliação constante das conexões e a adaptação dinâmica dos privilégios.

É neste contexto que o conceito de Zero Trust desempenha um papel central na proteção contra ataques cibernéticos em um  mundo cada vez mais interconectado e digitalizado.


Imagem: Imagem de freepik

FONTE: TI Inside Notícias