APIs
7
min de leitura
19 de março de 2020

Por que usar o API Gateway e o Service Mesh para garantir a segurança da informação

Carlos Pinheiro
Consultor de Arquitetura Sr
Ampla experiência em arquitetura de TI e software gerenciamento de projetos, com conhecimento avançado de API, SOA, software engenharia, gerenciamento de processos comerciais e serviços de TI.
Mais sobre o autor

A segurança é um fator crítico na estratégia digital das organizações. O Relatório Estado das APIs no Brasil 2017 ("Estado das APIs no Brasil")[1], conduzido pela Sensedia em parceria com a IDC, prova que a segurança é o fator mais preocupante nas estratégias das APIs das organizações.

O resultado desta pesquisa reforça a importância de uma gestão de segurança adequada.

Uma plataforma de gerenciamento de APIs ganha ainda mais relevância para garantir a segurança da informação em tempos de LGPD e microsserviços. Por outro lado, mesmo aplicações monolíticas vêm evoluindo e atualmente boa parte já expõe APIs REST, o que facilita a integração, mas que sem governança adequada pode, ao final, expor as organizações.

Neste contexto percebemos uma tendência das organizações em descentralizar decisões técnicas distribuindo as responsabilidades por squads. Neste artigo avaliamos os impactos da descentralização da segurança para os squads de desenvolvimento e o papel do API Gateway e do Service-Mesh em garantir a aplicação as melhores práticas de segurança.

Governança

É preciso garantir que as práticas de segurança sejam implementadas em todas as interfaces de sistemas, ou seja, em todas as APIs. Em um ambiente descentralizado, garantir que as melhores práticas de segurança sejam implementadas é tarefa complexa. Implica também em grande esforço da equipe de segurança para inspecionar as soluções em busca de vulnerabilidade, após estas serem implementadas. É bem mais conveniente que tais aspectos sejam prevenidos, se possível liberando os desenvolvedores de decisões sobre estes aspectos. Para saber mais detalhes de como proteger a organização dos top 10 OWASP, vale uma leitura no artigo Top 10 Riscos de Segurança na Web (OWASP 2017) e como mitigá-los com API Management

Skill dos desenvolvedores de solução

Temos notado que desenvolvedores de soluções, sejam apps ou serviços backend, na maioria das vezes estão preocupados em realizar as regras de negócio e muitas vezes ignoram aspectos importantes de segurança. Por outro lado, os programadores têm dificuldade em lidar com aspectos complexos relacionados à segurança e proteção de dados [3], pois são mais preparados para lidar com lógica de programação e frameworks de desenvolvimento.

Restrições de projetos

Também notamos que organizações muito projetizadas, ao sofrer pressões quanto ao prazo dos projetos, tendem a relaxar um pouco quanto à segurança. Por esta razão, consideramos que decisões relacionadas a segurança da informação, deve ser governada no nível corporativo, retirando dos projetos as principais decisões acerca dos aspectos relacionados à segurança da informação.

Diversidade tecnológica

As grandes organizações usualmente possuem um ambiente complexo e heterogêneo de TI, envolvendo aplicações com diversas linguagens e tecnologia. Novas tecnologias podem habilitar algumas inovações e trazer vantagens, mas a diversidade traz alguns desafios, por exemplo:

  • Como garantir que as normas de segurança sejam implementadas corretamente em diferentes idiomas e tecnologias?
  • A mesma implementação deve ser implantada em cada tecnologia.
  • Uma vez que uma vulnerabilidade é detectada ou mesmo quando os mecanismos de segurança evoluem, os pontos de manutenção são multiplicados.

As implicações estão mais fortemente a dois objetivos de TI, relacionados a não otimização dos recursos e ao impacto na agilidade [4].

API Gateway e Service Mesh

No cenário que estamos descrevendo, API Gateway e Service Mesh desempenham o papel fundamental de padronizar a segurança nas interfaces dos serviços, garantindo ao mesmo tempo a aplicação mais moderna dos meios de segurança. Isto reduz o risco de ataques e permite uma resposta rápida que, de outra forma, seria muito mais difícil. Por outro lado, racionaliza a TI removendo a complexidade das aplicações que fornecem o serviço, permitindo que as equipes de desenvolvedores realmente se concentrem no código que gera inovação para o negócio. API Gateway Assim, centraliza a comunicação com aplicações de clientes e parceiros, regulando o tráfego recebido de fora da organização [5] enquanto o Sevice Mesh [6] cuida da comunicação entre Microsserviços dentro da rede interna da organização. Além da segurança, as plataformas API e o endereço Service Mesh , entre outros temas transversais:

  • Governança
  • Versionamento
  • Monitoramento
  • Analytics

Observe que listamos algumas capacidades importantes, a título de exemplo, mas a lista não é limitada a estes temas. Estas ferramentas combinadas são grandes aceleradores de negócio que ajudam a garantir a aplicação das melhores práticas e políticas de segurança e tratam de temas transversais sobre o tráfego norte-sul e leste-oeste. Por fim simplificam a arquitetura removendo dos desenvolvedores dos aplicativos as preocupações sobre estes e outros requisitos não funcionais, liberando-os para fazerem o que fazem de melhor, desenvolver apps e funcionalidades de negócio.

Leia também

CONTROLE O TRÁFICO DE SEUS APIs e PROTEGE SEU BACKEND com API GATEWAY

API GOVERNANCE

SERVICE MESH: O QUE É E POR QUE VOCÊ DEVERIA CONSIDERAR

Referências

[1] "Relatório: Estado das APIs no Brasil 2017 - Sensedia y IDG". [Online]. Disponível em: https://page.sensedia.com/pesquisa-o-estado-das-apis-brasil-2017/

[2] Nicholas Gimenes, "Top 10 Security Risks in the Internet and how to mitigate them with API Management", Sensedia, 21-nov-2017. [Online]. Disponível em: https://sensedia.com/api/owasp-2017-top-10-riscos-seguranca-apis/

[3] S. Haselböck e R. Weinreich, "Decision Guidance Models for Microservice Monitoring", in 2017 IEEE International Conference on Software Architecture Workshops (ICSAW), 2017, p. 54-61, doi: 10.1109/ICSAW.2017.31.

[4] "COBIT. A Business Framework for the Governance and Management of Enterprise IT". ISACA, 2012.

[5] "O que é a segurança API"? [Online]. Disponível em: https://www.redhat.com/pt-br/topics/security/api-security

[6] Claudio Oliveira, "Service Mesh: O que é e por que deve ser considerado", Sensedia, 04-set-2019. [Online]. Disponível em: https://sensedia.com/api/service-mesh-o-que-e

Obrigado pela leitura!