Prácticas recomendadas de seguridad de API estándar

  • Security and Risk Management

Conciencia ciberseguridad

Las empresas también deben monitorear continuamente sus API para eliminar aquellas que no estén en uso o que no incluyan nuevas medidas de seguridad.

Identificar vulnerabilidades

Conocer las áreas del ciclo de vida de su API que son inseguras es el primer paso para protegerlas. Planifique todo su ciclo de vida y sepa dónde existen los componentes de la API. Comprender cómo encaja todo le permitirá identificar las debilidades donde se puede explotar su API. Escanear en busca de códigos incorrectos y probar sus rutinas también puede ayudar a identificar dónde pueden ocurrir los problemas.

Usar tokens

Los tokens de acceso permiten que una aplicación acceda a su API. Una vez que se completa el proceso de autenticación y autorización, se proporciona un token de acceso. Los tokens le permiten crear identidades confiables y asignar tokens a esas identidades para controlar el acceso a la API.

Cifrado de datos

Cifrar los datos mediante Transport Layer Security (TLS) y requerir una firma puede ayudar a garantizar que solo los usuarios autorizados accedan a los datos.

Puertas de enlace API

Las puertas de enlace de API actúan como un único punto de entrada para todas las llamadas de API y le permiten autenticar el tráfico de API. También proporcionan una vía para que los equipos implementen más fácilmente otras mejores prácticas de seguridad.

Límites de aceleración y velocidad

Cuando una API recibe demasiadas llamadas, podría indicar que la API está siendo atacada o que hay un error en el código. Al establecer límites sobre la frecuencia con la que se puede llamar a una API y limitar las conexiones, puede protegerla de picos de tráfico y ataques DDoS.

Autenticacion y autorizacion

Muchas API se pueden descubrir fácilmente, y eso es música para los oídos de los piratas informáticos. Para controlar el número de solicitudes de API y quién recibe acceso, debe guardar la documentación de su API detrás de las credenciales de autorización.

Hay que evitar hacer que las API sean demasiado fáciles de usar. Los piratas informáticos frecuentemente se hacen pasar por usuarios y usan mensajes de error descriptivos para espiar debajo del capó. A veces, decir que no se encontró una cuenta en lugar de señalar que había una contraseña incorrecta puede evitar que un pirata informático obtenga demasiada información útil.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.