Como você projeta e testa suas APIs EAI e microsserviços para segurança por padrão e por design?

1 Segurança por padrão

A segurança por padrão é essencial para configurar e implantar APIs EAI e microsserviços com as configurações e opções mais seguras. As práticas recomendadas incluem o uso de criptografia HTTPS e TLS para todos os pontos de extremidade, a imposição de validação e fixação de certificados, a aplicação do princípio de privilégio mínimo e exposição mínima para controle de acesso, o uso de tokens, chaves ou certificados para autenticação e autorização, a implementação de limitação de taxa, limitação e registro em log para solicitações, o uso de firewalls, proxies ou gateways para filtrar tráfego mal-intencionado e o uso de padrões e estruturas de codificação seguros para evitar vulnerabilidades comuns.

2 Segurança desde a concepção

Segurança por design significa que suas APIs e microsserviços EAI são projetados e desenvolvidos com a segurança em mente desde o início, tornando-se parte integrante do ciclo de vida e da arquitetura de desenvolvimento. Para garantir a segurança, você deve conduzir a modelagem de ameaças e avaliações de risco para identificar ativos, atores, ações e ataques que possam afetá-los. Além disso, defina e documente requisitos e políticas de segurança para funcionalidades de API e microsserviços e, em seguida, use-os como base para design e teste. Além disso, adote uma metodologia de desenvolvimento segura, como o DevSecOps, que incorpora atividades e ferramentas de segurança em todos os estágios do pipeline de desenvolvimento. Por fim, aplique o princípio de defesa em profundidade com várias camadas de controles e mecanismos de segurança, como criptografia, hashing, assinatura, verificação, auditoria e monitoramento.

3 Testes de segurança

O teste de segurança é um processo de verificação e validação de que as APIs e microsserviços EAI atendem às expectativas e padrões de segurança e estão livres de quaisquer falhas ou fraquezas de segurança que possam comprometer sua integridade, confidencialidade ou disponibilidade. Para garantir a segurança, ferramentas e técnicas de teste automatizado e manual devem ser usadas para executar diferentes tipos de testes de segurança em pontos de extremidade de API e microsserviços, como análise estática, análise dinâmica, teste de penetração, fuzzing e varredura de vulnerabilidade. Além disso, dados e cenários realistas e representativos devem ser usados para testes de segurança para simular vetores de ataque e métodos que podem explorar vulnerabilidades de API e microsserviços. Por fim, um loop de feedback deve ser empregado com uma abordagem de melhoria contínua para testes de segurança, a fim de identificar e priorizar problemas de segurança, bem como implementar e verificar correções e aprimoramentos de segurança.

4 Monitoramento de segurança

O monitoramento de segurança é um processo de observar e analisar o comportamento e o desempenho de APIs e microsserviços EAI em tempo real ou quase em tempo real, e detectar e responder a quaisquer incidentes ou anomalias de segurança que possam ocorrer. Para garantir a segurança de seus pontos de extremidade de API e microsserviços, use métricas, indicadores e alertas para medir o status e a integridade da segurança. Além disso, dados de log, rastreamento e eventos devem ser coletados para armazenar informações e atividades relacionadas à segurança. Painéis, relatórios e visualizações podem ser usados para exibir dados e insights relacionados à segurança. Por fim, os procedimentos de resposta e recuperação de incidentes devem estar em vigor para lidar com quaisquer violações ou interrupções de segurança.

5 Revisão de segurança

A revisão de segurança é o processo de avaliar e avaliar a postura geral de segurança e a maturidade de suas APIs e microsserviços EAI e identificar e resolver quaisquer lacunas de segurança ou oportunidades de melhoria. Para garantir que as práticas recomendadas, padrões, estruturas e diretrizes devem ser usados para comparar o desempenho de segurança com as práticas do setor e os requisitos de conformidade, como OWASP, NIST, ISO ou GDPR. Auditorias, avaliações e certificações também podem ser usadas para verificar as práticas de segurança em relação a critérios e objetivos. Finalmente, feedback, recomendações e planos de ação devem ser implementados para melhorar as práticas de segurança com base nos resultados da revisão.

6 Veja o que mais considerar

Este é um espaço para compartilhar exemplos, histórias ou insights que não se encaixam em nenhuma das seções anteriores. O que mais gostaria de acrescentar?