Compreendendo os fundamentos da segurança de API

O abuso de API é um problema contínuo e deve aumentar nos próximos anos.

Este é o primeiro de uma série de artigos, originalmente publicado no site HelpNet Security, que apresenta e explica ameaças, desafios e soluções de segurança de interfaces de programação de aplicativos ( API ) para participantes de desenvolvimento, operações e proteção de software.

Objetivo da série de artigos
Neste anos todos de Blog Minuto da Segurança um tema que nos faltava abordar e que rotineiramente são esquecidos nos sites de segurança, e também por muitos profissionais de SI, é o tema de Segurança de APIs. Desta forma, buscamos sobre o tema encontramos diversos artigos muito bem escritos e publicados pelo HelpNet Security e outros sites de referência confiável e resolvemos trazer para os leitores do nosso blog na intenção de colaborar com nossa comunidade.

Pesquisar a ampla gama de alternativas de segurança de API pode ser confuso – até mesmo para especialistas experientes. O HelpNet Security editou a série de artigos com o objetivo de ajudar todos os tipos de leitores a entender melhor os prós e os contras das várias abordagens modernas para proteger APIs de riscos de segurança cibernética.

O material destina-se a ajudar as equipes de segurança corporativa e de desenvolvimento de software a desenvolver e manter uma filosofia de proteção consistente.
O leitor de destino inclui desenvolvedores de software que dependem e usam APIs todos os dias, bem como gerentes técnicos que podem ser responsáveis pela segurança de API em suas organizações.

O leitor-alvo também inclui, no entanto, indivíduos de mentalidade técnica que possuem pouca experiência com APIs, mas que, no entanto, estão interessados nos aspectos de segurança deste importante problema.

Referência: https://minutodaseguranca.blog.br/compreendendo-os-fundamentos-da-seguranca-de-api/

Introdução às APIs

O usuário típico de serviços de rede e Internet tende a pensar nas interfaces de computador em termos de telas, teclados, monitores e semelhantes. Essas interfaces são os meios visíveis pelos quais os sistemas trocam informações com usuários humanos e têm avançado rapidamente nos últimos anos. A tela sensível ao toque da Apple, por exemplo, surgiu apenas uma década atrás, e uma geração de jovens mal se lembra de como era o mundo antes de tal capacidade útil existir.

Mas existe outro tipo de interface que existe na computação, talvez mais oculta para o usuário comum. Esse outro tipo de interface é como os programas de software se comunicam entre si. Por muitos anos, esse processo foi mal especificado, com programadores inventando protocolos para algo chamado comunicação entre processos ( IPC ). Um dos primeiros sistemas operacionais da Bell Laboratories chamado Unix , que agora serve como base para o Apple iOS e Android, tornou os projetos IPC mais fáceis, mas eles não eram padronizados.

Em 2000, a indústria decidiu que essas interfaces de software para software precisavam se tornar mais abertas e padronizadas. Essa decisão técnica se tornou a gênese do que agora chamamos de interface de programação de aplicativo ou, mais comumente, API. Reconheça que uma API fornece uma interface padrão por meio da qual dois programas de software, também chamados comumente de processos, podem se comunicar, compartilhar mensagens ou memória compartilhada gerenciada.

Mais especificamente, uma API é uma interface que disponibiliza serviços de software para cargas de trabalho ou aplicativos para comunicação bidirecional e compartilhamento de mensagens. As APIs também são comumente usadas para compartilhar memória entre diferentes processos. Uma API é sem estado por natureza e geralmente inclui todas as informações necessárias para concluir uma transação, ao contrário de um formulário da web que pode exigir várias transações para processos como o registro do usuário.

Como funcionam as APIs?

As APIs permitem que seu produto ou serviço se comunique com outros produtos e serviços sem precisar saber como eles são implementados. Isso pode simplificar o desenvolvimento de aplicativos, economizando tempo e dinheiro. Quando você está projetando novas ferramentas e produtos – ou gerenciando os existentes – as APIs oferecem flexibilidade; simplificação do design , administração e uso; e oferecem oportunidades de inovação.
Às vezes, as APIs são consideradas contratos, com documentação que representa um acordo entre as partes: Se a parte 1 enviar uma solicitação remota estruturada de uma maneira específica, é assim que o software da parte 2 responderá.
Como as APIs simplificam a forma como os desenvolvedores integram novos componentes de aplicativos em uma arquitetura existente, elas ajudam as equipes de negócios e de TI a se entenderem. As necessidades de negócios muitas vezes mudam rapidamente em resposta aos mercados digitais em constante mudança, onde novos concorrentes podem mudar toda uma indústria com um novo aplicativo. Para permanecer competitivo, é importante apoiar o rápido desenvolvimento e implantação de serviços inovadores. O desenvolvimento de aplicativos nativos da nuvem é uma maneira de aumentar a velocidade de desenvolvimento e depende da conexão de uma arquitetura de aplicativo de microsserviços por meio de APIs.
APIs são uma maneira simplificada de conectar sua própria infraestrutura por meio do desenvolvimento de aplicativos nativos da nuvem, mas também permitem que você compartilhe seus dados com clientes e outros usuários externos. As APIs públicas representam um valor comercial exclusivo porque podem simplificar e expandir a maneira como você se conecta com seus parceiros, bem como potencialmente monetizar seus dados (a API do Google Maps é um exemplo popular).