¿Por qué utilizar API Gateway y Service Mesh para garantizar la seguridad de la información?

La seguridad es un factor crítico en la estrategia digital de las organizaciones y es el factor que más preocupa en las estrategias API de las organizaciones.

En este sentido una plataforma de gestión de APIs tiene aún más relevancia para garantizar la seguridad de la información en tiempos de LGPD y microservicios. Por otro lado, incluso aplicaciones monolíticas están evolucionando y actualmente buena parte ya expone APIs REST, lo que facilita la integración, pero que sin un gobierno adecuado puede, al final, exponer a las organizaciones.

En este contexto percibimos una tendencia de las organizaciones de descentralizar decisiones técnicas distribuyendo las responsabilidades por squads. En este artículo evaluamos los impactos de la descentralización de la seguridad para los squads de desarrollo y el rol de API Gateway y de Service-Mesh en garantizar la aplicación de las mejores prácticas de seguridad.

Gobernanza

Hay que asegurarse de que las prácticas de seguridad se aplican en todas las interfaces del sistema, es decir, en todas las API. En un entorno descentralizado, garantizar que se aplican las mejores prácticas de seguridad es una tarea compleja. Además, implica un gran esfuerzo por parte del equipo de seguridad para inspeccionar las soluciones en busca de vulnerabilidades una vez implementadas. Es mucho más conveniente prevenirlas, si es posible, liberando a los desarrolladores de las decisiones sobre estos aspectos.

Skill de los desarrolladores de solución

Hemos observado que los desarrolladores de soluciones, ya incluyan aplicaciones o servicios de backend, suelen preocuparse más por aplicar las reglas de negocio y a menudo pasan por alto aspectos de seguridad importantes. Por otro lado, a los programadores les resulta difícil abordar aspectos complejos relacionados con la seguridad y la protección de los datos, ya que están mejor preparados para ocuparse de la lógica de programación y los marcos de desarrollo.

Restricciones de proyectos

También notamos que las organizaciones, al sufrir presiones con respecto al plazo de los proyectos, tienden a relajarse un poco con respecto a la seguridad. Por esta razón, consideramos que las decisiones relacionadas a la seguridad de la información deben ser gobernadas en el nivel corporativo, retirando de los proyectos las principales decisiones acerca de los aspectos relacionados a la seguridad de la información.

Diversidad tecnológica

Las grandes organizaciones usualmente poseen un ambiente complejo y heterogéneo de TI, involucrando aplicaciones con diversos lenguajes y tecnologías. Nuevas tecnologías pueden habilitar algunas innovaciones y traer ventajas, pero la diversidad trae algunos desafíos, por ejemplo:

• ¿Cómo garantizar que las normas de seguridad sean implementadas de forma correcta en diferentes lenguajes y tecnologías?
• La misma implementación tiene que ser implementada en cada tecnología.
• Una vez detectada una vulnerabilidad o incluso al evolucionar los mecanismos de seguridad, los puntos de mantenimiento son multiplicados.

Las implicaciones están más fuertemente relacionadas con dos objetivos de TI, relacionados con la no optimización de los recursos de TI y el impacto en la agilidad de TI.

API Gateway y Service Mesh

En el escenario que estamos describiendo API Gateway y Service Mesh desempeñan el papel clave de normalizar la seguridad en las interfaces de los servicios, garantizando al mismo tiempo la aplicación más moderna de los medios de seguridad. Esto reduce el riesgo de ataques y permite una respuesta rápida que de otro modo sería mucho más difícil. Por otro lado, racionaliza las TI al eliminar la complejidad en las aplicaciones que prestan el servicio, lo que permite a los equipos de desarrolladores centrarse realmente en el código que genera innovación para la empresa.

API Gateway centraliza así la comunicación con las aplicaciones de clientes y socios, regulando el tráfico entrante desde fuera de la organización, mientras que Sevice Meshse encarga de la comunicación entre microservicios dentro de la red interna de la organización. Además de la seguridad, las plataformas API y Service Mesh abordan, entre otros temas transversales:

• Gobernanza
• Versión
• Monitoreo
• Analytics

Tenga en cuenta que hemos enumerado algunas capacidades importantes a modo de ejemplo, pero la lista no se limita a estos temas. Estas herramientas combinadas son grandes aceleradores de negocio que ayudan a garantizar la aplicación de las mejores prácticas y políticas de seguridad al tiempo que abordan temas transversales sobre el tráfico norte-sur y este-oeste.

Por último, simplifican la arquitectura al eliminar las preocupaciones de los desarrolladores de aplicaciones sobre estos y otros requisitos no funcionales, lo que les permite dedicarse a lo que mejor saben hacer, es decir, desarrollar aplicaciones y funciones empresariales.

‍

‍