APIs
7
min de lectura
19 de marzo de 2020

Por qué utilizar API Gateway y Service Mesh para garantizar la seguridad de la información

Carlos Pinheiro
Consultor de arquitectura Sr.
Amplia experiencia en arquitectura de TI y gestión de proyectos de software , con conocimientos avanzados de API, SOA, ingeniería de software , gestión de procesos empresariales y servicios de TI.
Más sobre el autor

La seguridad es un factor crítico en la estrategia digital de las organizaciones. El informe "Estado das APIs no Brasil 2017"[1], realizado por Sensedia en colaboración con IDC, demuestra que la seguridad es el factor más preocupante en las estrategias de las organizaciones en materia de API.

El resultado de este estudio refuerza la importancia de una gestión adecuada de la seguridad.

En este sentido una plataforma de gestión de APIs tiene aún más relevancia para garantizar la seguridad de la información en tiempos de LGPD y microservicios. Por otro lado, incluso aplicaciones monolíticas están evolucionando y actualmente buena parte ya expone APIs REST, lo que facilita la integración, pero que sin un gobierno adecuado puede, al final, exponer a las organizaciones.

En este contexto percibimos una tendencia de las organizaciones de descentralizar decisiones técnicas distribuyendo las responsabilidades por squads. En este artículo evaluamos los impactos de la descentralización de la seguridad para los squads de desarrollo y el rol de API Gateway y de Service-Mesh en garantizar la aplicación de las mejores prácticas de seguridad.

Gobernanza

Es necesario garantizar que las prácticas de seguridad sean implementadas en todas las interfaces de sistemas, o sea, en todas las APIs. En un ambiente descentralizado, garantizar que las mejores prácticas de seguridad sean implementadas es una tarea compleja. Implica también un gran esfuerzo del equipo de seguridad para inspeccionar las soluciones en busca de vulnerabilidad, después de que estas sean implementadas. Es mucho más conveniente que tales aspectos sean prevenidos, liberando a los desarrolladores de decisiones sobre estos aspectos, cuando sea posible. Para saber más detalles de cómo proteger a la organización de los top 10 OWASP, vale una lectura del artículo Top 10 Riscos de Seguridad en la Web (OWASP 2017) y como mitigá-los con API Management

Skill de los desarrolladores de solución

Hemos notado que desarrolladores de soluciones, ya sean apps o servicios backend, la mayoría de las veces están preocupados en seguir las reglas de negocio y muchas veces ignoran aspectos importantes de seguridad. Por otro lado, los programadores tienen dificultad en tratar con aspectos complejos relacionados a la seguridad y a la protección de datos [3], pues son más preparados para tratar con lógica de programación y frameworks de desarrollo.

Restricciones de proyectos

También notamos que las organizaciones, al sufrir presiones con respecto al plazo de los proyectos, tienden a relajarse un poco con respecto a la seguridad. Por esta razón, consideramos que las decisiones relacionadas a la seguridad de la información deben ser gobernadas en el nivel corporativo, retirando de los proyectos las principales decisiones acerca de los aspectos relacionados a la seguridad de la información.

Diversidad tecnológica

Las grandes organizaciones usualmente poseen un ambiente complejo y heterogéneo de TI, involucrando aplicaciones con diversos lenguajes y tecnologías. Nuevas tecnologías pueden habilitar algunas innovaciones y traer ventajas, pero la diversidad trae algunos desafíos, por ejemplo:

  • ¿Cómo garantizar que las normas de seguridad sean implementadas de forma correcta en diferentes lenguajes y tecnologías?
  • La misma implementación tiene que ser implementada en cada tecnología.
  • Una vez detectada una vulnerabilidad o incluso al evolucionar los mecanismos de seguridad, los puntos de mantenimiento son multiplicados.

Las implicaciones están más relacionadas con dos objetivos de la TI, relacionados con la no optimización de los recursos de TI y el impacto en la agilidad de la TI [4].

API Gateway y Service Mesh

En el escenario que estamos describiendo, API Gateway y Service Mesh desempeñan el papel clave de estandarizar la seguridad en las interfaces de los servicios, al tiempo que garantizan la aplicación más moderna de los medios de seguridad. Esto reduce el riesgo de ataques y permite una respuesta rápida que de otro modo sería mucho más difícil. Por otro lado, agiliza las TI al eliminar la complejidad en las aplicaciones que prestan el servicio, permitiendo que los equipos de desarrolladores se centren realmente en el código que genera innovación para el negocio. API Gateway centraliza así la comunicación con las aplicaciones de clientes y socios, regulando el tráfico entrante desde fuera de la organización [5], mientras que Sevice Mesh [6] se encarga de la comunicación entre microservicios dentro de la red interna de la organización. Además de la seguridad, las plataformas API y Service Mesh abordan, entre otros temas transversales

  • Gobernanza
  • Versión
  • Monitoreo
  • Analytics

Observe que listamos algunas capacidades importantes, a título de ejemplo, pero la lista no está limitada a estos temas. Estas herramientas combinadas son grandes aceleradores de negocio, ayudan a garantizar la aplicación de las mejores prácticas y políticas de seguridad y tratan de temas transversales sobre el tráfico norte-sur y este-oeste. Por fin simplifican la arquitectura retirando de los desarrolladores de las aplicaciones las preocupaciones sobre estos y otros requisitos no funcionales, liberándolos para hacer lo que hacen mejor, desarrollar apps y funcionalidades de negocio.

Lea también

Controle el tráfico de sus APIs y proteja su backend con API GATEWAY

API GOVERNANCE

SERVICE MESH: QUÉ ES Y POR QUÉ DEBERÍA CONSIDERARLO

Referencias

"Informe: Estado de las API en Brasil 2017 - Sensedia y IDG". [Online]. Disponible en: https://page.sensedia.com/pesquisa-o-estado-das-apis-brasil-2017/

2] Nicholas Gimenes, "Los 10 principales riesgos de seguridad en Internet y cómo mitigarlos con API Management", Sensedia21 de noviembre de 2017. [Online]. Disponible en: https://sensedia.com/api/owasp-2017-top-10-riscos-seguranca-apis/

3] S. Haselböck y R. Weinreich, "Decision Guidance Models for Microservice Monitoring", en 2017 IEEE International Conference on Software Architecture Workshops (ICSAW), 2017, p. 54-61, doi: 10.1109/ICSAW.2017.31.

"COBIT". A Business Framework for the Governance and Management of Enterprise IT". ISACA, 2012.

[5] "¿Qué es la seguridad de la API?" [Online]. Disponible en: https://www.redhat.com/pt-br/topics/security/api-security

[6] Claudio Oliveira, "Service Mesh: Qué es y por qué debe ser considerado", Sensedia04-set-2019. [Online]. Disponible en: https://sensedia.com/api/service-mesh-o-que-e

¡Gracias por leer!