.png){kind=small}
.png){kind=small}
A segurança é um fator crítico na estratégia digital das organizações e o elemento mais preocupante nas estratégias de API das organizações.
Uma plataforma de gerenciamento de APIs ganha ainda mais relevância para garantir a segurança da informação em tempos de LGPD e microsserviços. Por outro lado, mesmo aplicações monolíticas vêm evoluindo e atualmente boa parte já expõe APIs REST, o que facilita a integração, mas que sem governança adequada pode, ao final, expor as organizações.
Neste contexto, percebemos uma tendência das organizações em descentralizar decisões técnicas distribuindo as responsabilidades por squads. Neste artigo avaliamos os impactos da descentralização da segurança para os squads de desenvolvimento e o papel do API Gateway e do Service Mesh em garantir à aplicação as melhores práticas de segurança.
Deve-se assegurar que as práticas de segurança sejam implementadas em todas as interfaces do sistema, ou seja, em todas as APIs. Em um ambiente descentralizado, garantir que as melhores práticas de segurança sejam implementadas é uma tarefa complexa. Isso também implica um grande esforço da equipe de segurança para inspecionar soluções de vulnerabilidades após a sua implementação. É muito mais conveniente que tais aspectos sejam evitados, se possível, liberando os desenvolvedores das decisões sobre estes aspectos.
Temos notado que os desenvolvedores de soluções, que incluam aplicativos ou serviços backend, estão mais preocupados em cumprir as regras comerciais, ao mesmo tempo em que, muitas vezes, ignoram os principais aspectos de segurança. Por outro lado, os programadores acham difícil lidar com aspectos complexos relacionados à segurança e proteção de dados, pois estão mais bem preparados para lidar com a lógica de programação e as estruturas de desenvolvimento.
Também notamos que organizações muito projetizadas, ao sofrer pressões quanto ao prazo dos projetos, tendem a relaxar um pouco quanto à segurança. Por esta razão, consideramos que decisões relacionadas a segurança da informação, deve ser governada no nível corporativo, retirando dos projetos as principais decisões acerca dos aspectos relacionados à segurança da informação.
As grandes organizações usualmente possuem um ambiente complexo e heterogêneo de TI, envolvendo aplicações com diversas linguagens e tecnologia. Novas tecnologias podem habilitar algumas inovações e trazer vantagens, mas a diversidade traz alguns desafios, por exemplo:
As implicações estão mais fortemente relacionadas a dois objetivos de TI, relacionados à não otimização dos recursos de TI e ao impacto na agilidade da TI.
No cenário que estamos descrevendo, API Gateway e Service Mesh desempenham o papel fundamental de padronizar a segurança nas interfaces dos serviços, garantindo ao mesmo tempo a aplicação mais moderna dos meios de segurança. Isto reduz o risco de ataques e permite uma resposta rápida que, de outra forma, seria muito mais difícil. Por outro lado, racionaliza a TI removendo a complexidade das aplicações que fornecem o serviço, permitindo que as equipes de desenvolvedores realmente se concentrem no código que gera inovação para o negócio.
API Gateway centraliza assim a comunicação com aplicações de clientes e parceiros, regulando o tráfego de entrada de fora da organização enquanto a Sevice Meshtakes cuida da comunicação entre Microsserviços dentro da rede interna da organização. Além da segurança, as plataformas API e o endereço Service Mesh , entre outros temas transversais:
Observe que listamos algumas capacidades importantes como exemplo, mas a lista não está limitada a estes temas. Estas ferramentas combinadas são grandes aceleradores de negócios que ajudam a garantir a aplicação das melhores práticas e políticas de segurança ao mesmo tempo em que abordam temas transversais no tráfego norte-sul e leste-oeste.
Por fim, eles simplificam a arquitetura removendo as preocupações dos desenvolvedores de aplicativos sobre estes e outros requisitos não funcionais, liberando-os para fazer o que eles fazem de melhor, ou seja, desenvolver aplicativos e características comerciais.
