Vivemos tempos em que a segurança digital é um tema crucial, especialmente quando se trata de APIs. Estudos do Gartner preveem que mais de 50% das APIs não serão gerenciadas até 2025, o que torna essa questão ainda mais relevante e urgente.
A falta de gerenciamento adequado pode levar a riscos de segurança, interrupções de serviços, problemas de integração, mau desempenho e violações regulatórias, afetando negativamente as operações e a reputação das organizações. Proteger nossas APIs envolve três aspectos principais: descoberta, governança e proteção.
Descoberta de APIs
No que diz respeito à descoberta, muitas empresas enfrentam desafios para ter visibilidade de todas as suas APIs, que estão cada vez mais fragmentadas e distribuídas em diferentes locais, como nuvens múltiplas. Além disso, as APIs são desenvolvidas em diversas tecnologias e para diferentes propósitos, o que torna difícil ter um panorama completo. Sem a visibilidade adequada, não é possível governar e proteger as APIs. Portanto, é essencial investir na descoberta e na visibilidade de todas as APIs com documentação abrangente, fornecimento de exemplos e casos de uso e até mesmo a criação de um portal de desenvolvedores.
Uma vez que as APIs são descobertas, o próximo passo é a governança.
Governança de APIs
É importante garantir que todas as APIs sigam as melhores práticas e ofereçam qualidade aos consumidores. Para isso, é necessário primeiro identificar quais são essas melhores práticas. Iniciativas open source, como o OpenAPI e o AsyncAPI, fornecem padrões e diretrizes para APIs REST e assíncronas, respectivamente. Além disso, a comunidade OWASP oferece padrões de segurança para garantir a proteção das APIs.
A governança das APIs deve abranger todas as APIs, sem exceção. É crucial garantir a consistência e a qualidade, evitando que APIs não governadas se tornem brechas de segurança ou causem incidentes que resultem na perda de dados. Portanto, a governança é fundamental para proteger a imagem da empresa e manter a confiança dos clientes.
Proteção de APIs
A proteção é um aspecto crítico, considerando que 41% das organizações já tiveram incidentes relacionados a APIs nos últimos 12 meses. Esses incidentes podem resultar em perda de dados, o que afeta diretamente a imagem e a receita da empresa. Existem diversos mecanismos e padrões disponíveis para proteger as APIs, independentemente do formato de dados ou da localização da API. É importante adotar medidas de segurança adequadas para cada caso, levando em consideração se a API é pública ou privada e qual é o ambiente de execução.
A plataforma AnyPoint, da MuleSoft, pode auxiliar nesses três aspectos: descoberta, governança e proteção de APIs. Por meio de recursos automatizados, a plataforma oferece um catálogo universal para todas as APIs, independentemente de sua localização ou tecnologia utilizada. Além disso, ela permite aplicar melhores práticas, como as definidas pelo OpenAPI, Async, entre outros.
À medida que as APIs se tornam mais fragmentadas e distribuídas em diferentes ambientes, a descoberta, governança e proteção adequadas se tornam ainda mais urgentes. Não importa se a API é pública, privada ou em nuvem, todas as APIs devem ser protegidas e governadas, visto que mesmo as APIs menos conhecidas ou menos visíveis podem se tornar potenciais pontos de ataque e causar incidentes de segurança.
Investir em visibilidade, adotar melhores práticas e implementar medidas de segurança apropriadas são passos cruciais para evitar incidentes que possam comprometer a imagem e a receita das empresas. Portanto, é imprescindível que as organizações adotem uma abordagem abrangente para proteger todas as suas APIs, garantindo assim a confiança dos clientes e a segurança de nossa propriedade digital.
Artigo escrito com base na fala de Dhiego Duarte, Engenheiro de Soluções na Mulesoft, na palestra homônima durante o API Connect Conference 2023.