A segurança das APIs pode se beneficiar significativamente do conceito de Zero Trust. Ao invés de assumir que tudo dentro de um perímetro de segurança é confiável, o Zero Trust opera sob a premissa de "nunca confie, sempre verifique". Ou seja, cada solicitação de acesso, independentemente de sua origem, deve ser autenticada, autorizada e validada continuamente.
Claro que há exceções onde uma simples consulta de um catálogo como, por exemplo, uma lista de cidades, não representa acesso a dados sensíveis. Mas é fundamental ter a consciência de que as abordagens de segurança tradicionais, como defesas de perímetro, dependem fortemente da confiança implícita dentro dos limites da rede. No entanto, a proliferação das APIs, muitas vezes abrangendo diferentes limites de confiança, torna esses métodos obsoletos. Ataques podem vir de qualquer lugar, mesmo dentro da rede, tornando essencial validar continuamente cada solicitação. É vital adotar uma visão não somente Norte-Sul, mas também Leste-Oeste!
À medida que as organizações migram para arquiteturas de microsserviços e implantações em nuvem, as fronteiras de rede tradicionais se tornam menos definidas. O conceito de Zero Trust complementa essas arquiteturas modernas, garantindo que a segurança seja aplicada de forma consistente em todos os componentes e solicitações, independentemente da localização.
Se levarmos em conta a explosão da criação de APIs, inicialmente potencializada pela pandemia e pela transformação digital, e ainda mais com o uso atual de inteligência artificial generativa no desenvolvimento de aplicações, o desafio de fazer um simples inventário se torna um verdadeiro pesadelo. O que dizer então de se proteger as APIs!
Certamente o conceito de Zero Trust é mais abrangente e inclui, entre outros, rede, dispositivos móveis, aplicações internas e armazenamento. O que estamos detalhando aqui é a extensão deste tipo de abordagem para as APIs, que hoje são sem dúvida um importante vetor de ataques às empresas. Seguem algumas recomendações básicas quando pensamos na proteção de APIs:
- Utilizar protocolos seguros de criptografia na comunicação e no armazenamento de dados;
- Autenticação forte sempre! Oauth2/OpenID são fundamentais! Todo e qualquer acesso a um Endpoint/Rota que entregue um dado sensível deve obrigatoriamente estar autenticado;
- Implementar mecanismos de autorização para permitir acesso somente ao necessário. Nada é confiável até se prove o contrário! Dispositivos, pessoas, aplicações etc.
Para a redução das ameaças e preservação da integridade dos sistemas é crucial a avaliação constante das conexões e a adaptação dinâmica dos privilégios. É neste contexto que o conceito de Zero Trust desempenha um papel central na proteção contra ataques cibernéticos em um mundo cada vez mais interconectado e digitalizado.
Paulo Braga Craveiro, Engenheiro Senior Pré-Vendas para a América Latina da Salt Security.
