Es sabido que gracias a las soluciones de API Management se pueden llevar a cabo múltiples procesos dentro de una organización, esto gracias a la capacidad que tiene esta tecnología de transferir data y combinar bases de datos de múltiples sistemas. El concepto base de dato suele asustar un poco y nos preguntamos ¿Nuestra información se está distribuyendo por todas partes?
Datos de tarjetas de crédito, ubicaciones, inversiones, datos médicos u otro tipo de información que se relacione con nuestras actividades diarias, corren el riesgo de ser expuestos si no existe la seguridad suficiente en la gestión de las APIs que mueven la data.
Complementar la tecnología de API Management con soluciones de Seguridad, permite resguardar la integridad, disponibilidad, privacidad, control y autenticación de nuestros datos. Dentro de una organización pueden existir datos públicos y datos confidenciales, la seguridad de una API se aplica según el tipo de dato que se está transfiriendo.
Actualmente las API utilizan dos tipos de Arquitectura de Software orientadas en Servicios, o SOA (Service-Oriented Architecture, por sus siglas en inglés), estas pueden ser SOAP y REST Web Services, según la seguridad requerida u otros factores.
Las API de tipo SOAP, son ampliamente implementadas en las empresas, sin embargo, le están cediendo más terreno a los servicios de API REST. Ambos exponen datos sobre solicitudes y respuestas HTTP, pero usan formatos y semánticas muy diferentes para hacerlo, por lo tanto, tienen diferentes niveles de seguridad que hay que considerar a la hora de implementar soluciones de API Management en una organización.
Las servicios de APIs SOAP utilizan protocolos de Seguridad Web Services, este tipo de servicio ha agregado extensiones para lidiar con la seguridad de la mensajería transaccional, lo que permite definir reglas para asegurar la confidencialidad de usuarios en cualquier proyecto en que se utilice API Management, por ejemplo, la autenticación. Este protocolo permite que las APIs sean compatibles con los requerimientos de seguridad definidos por la organización, manteniendo estándares de información estructurada (OASIS) y el consorcio de la World Wide Web (W3C). Este protocolo permite implementar seguridad más integral, pero igualmente es necesario aplicar más gestión sobre las API, además están orientadas a organizaciones que tratan con datos confidenciales.
Las API REST, por otro lado, no implementan ningún patrón de seguridad específico, principalmente porque el patrón se centra en cómo entregar y consumir datos, no en cómo incorporar la seguridad en la forma en que se intercambian los datos. Es una tecnología flexible que transporta información por medio del protocolo HTTP y se apoya con el cifrado de seguridad de la capa de transporte (TLS), permitiendo una conexión privada en internet entre dos ecosistemas asegurando que la data encriptada no haya sido modificada. Las personas que implementan patrones de arquitectura REST deben determinar la cantidad adecuada de seguridad en el código, la implementación y la transmisión, no se asume como algo que viene de fábrica en un API REST. Llevando esto a un ámbito cotidiano, al comprar con una tarjeta de crédito mediante un sitio web, un pirata informático no podrá modificar los datos de la transacción o leerlos puesto que el sitio está protegido con HTTPS y TLS.
La prevención de ataques contra TLS, DNS y la red es esencial para garantizar la seguridad y la disponibilidad de las aplicaciones. Nuestro partner F5 Networks es especialista en esto, han implementado seguridad a APIs con distintas problemáticas, como autenticación en controles de accesos seguros y el desarrollo de infraestructuras APIs que sean escalables.
Con F5 no sólo haremos tu infraestructura más segura, también facilita la carga de gestión con políticas de acceso robustas, modernas y confiables.
Cualquier tipo de API, abarca varias formas para cuidar nuestros datos, entre ellas encontramos el uso de tokens, uso de protocolos de cifrado de datos, identificación de vulnerabilidades, uso de cupos y límites en que se puede utilizar una API y uso de gateways hacia las API (puertas de enlace que pueden centralizar la gestión de la seguridad en un solo lugar).
Un proyecto de API Management en el que no se consideren protocolos de seguridad adecuados, significa API dañadas, expuestas o “pirateadas”, esto causa las principales vulneraciones en la seguridad de los datos. No todos los datos son iguales ni se deben proteger de la misma manera, sin embargo, nadie quisiera que se expongan sus datos médicos, financieros y personales de públicamente. La forma en que se debe abordar la seguridad en un proyecto de API Management, dependerá del tipo de dato que se transfiera.
En Altiuz tratamos la seguridad como un pilar importante dentro del gobierno de APIs y aportamos en su construcción y modelamiento, de manera que nuestros clientes cuenten con altos estándares y protocolos de seguridad; con tecnologías de API Management a este nivel, nuestros clientes se sienten tranquilos al exponer su información y también sus usuarios al interactuar con estos servicios.
