Ir al contenido principal

Seguridad e Integración de la API

Implementar políticas, procedimientos y administración de seguridad sólidos.

Seguridad de la API y de la integración

La seguridad de la API y de la integración (API and integration security) a veces se ignora o se deja de lado en las implementaciones. En los proyectos API hay que tener en cuenta que la disponibilidad de las API aumenta el posible acceso a la organización. Ya sea por ataques de denegación de servicio, por una arquitectura de seguridad inadecuada o por un diseño y una autenticación insuficientes; la seguridad debe tenerse muy en cuenta durante la implementación.

Las organizaciones deben implantar políticas de seguridad sólidas, procedimientos y control en el diseño, el desarrollo y el consumo. Los controles de seguridad deben estar integrados en la arquitectura, el diseño y en el planteamiento. Las plataformas de API Management e integración incorporan varias características que pueden ayudar a la implementación de la seguridad. Resulta importante que las organizaciones comprendan las funciones que tienen a su disposición y que las apliquen con rigor durante la ejecución del proyecto.

Cómo mejorar la seguridad de la API y de la integración

Las organizaciones con una fuerte presencia en este ámbito hacen que la seguridad forme parte de su ADN organizativo. Se suelen aplicar marcos de control de seguridad, como NIST. En términos de integración y de API, es importante empezar por comprender los datos fundamentales:

  • ¿Qué datos se guardan sobre las personas y dónde?
  • ¿Qué efecto tiene el movimiento de datos?
  • ¿Dónde se procesan los datos y cómo se almacenan posteriormente?
  • ¿Existen aspectos relacionados con la protección de datos, por ejemplo, RGPD/PII?
  • ¿Cómo se valoran o clasifican los datos en función de su importancia?

Con la integración entre sistemas se dan, a menudo, privilegios al usuario en los respectivos sistemas. Esto es en gran parte debido a la comodidad en la depuración de los problemas relacionados con los procedimientos durante el desarrollo. Con ese tipo de acceso, es inevitable que demos privilegios de «superusuario» a los procesos resultantes y a las API que creamos. Resulta importante revisar las cuentas del sistema de integración para asegurarse de que los niveles de privilegio son los adecuados para los procesos de integración y las API que destinamos a la producción. Si no podemos limitar los privilegios en la cuenta de usuario de la integración, debemos asegurarnos de establecer controles de seguridad complementarios a nivel de la API. 

Entender la API como un producto, la aplicación del control de seguridad disponible en la plataforma API Management, la limitación de capacidad y la lista blanca y negra de rangos de red ayudan a bloquear la implementación. Asimismo, una arquitectura de API por capas que separe el sistema del proceso y la experiencia o de las capas de interacción e innovación es un firme criterio de diseño que debe aplicarse. 

La segmentación de ámbitos y la preocupación en el desarrollo también deberían ser prácticas habituales. Además, asegurarse de que todo lo que se presenta es sometido a pruebas de intrusión por parte de un tercero debería formar parte del plan de entrega del proyecto, así como de las pruebas seguras y rigurosas durante el desarrollo. 

Es, también, importante asegurarse de que, tras la implantación, haya una capacidad de observación de 360 grados de la plataforma en cuanto a la supervisión de la infraestructura y seguridad. La seguridad es un hábito de la organización y los incumplimientos de esta deberían aparecer como conductas en los seguimientos de datos. Configuradas de forma correcta, las organizaciones deberían ser capaces de situarse a la cabeza en cuanto a la implementación de la seguridad. 

Errores comunes en la seguridad de la API y en la integración

El error más común e importante que se comete es dejarlo para el final. Debe formar parte de los principales criterios a la hora de afrontar cualquier implementación. 

Otro error clave es no categorizar los conjuntos de datos con los que se trabaja en función de su vulnerabilidad o, incluso, no admitir que al mezclar datos es necesario clasificar la susceptibilidad resultante. Las implementaciones de la API consisten en facilitar sus datos para que sean utilizados por los desarrolladores dentro y fuera de la organización. Es imprescindible comprender las funciones y los niveles de acceso que deben aplicarse.

No se puede: 

  • No tener en cuenta la seguridad en las pruebas
  • Crear el control de la seguridad en la implementación
  • Poner en capas y separar la arquitectura

Todo ello indica que la organización aún no ha hecho de la seguridad parte de su ADN. Del mismo modo, con respecto a tener políticas de seguridad generales que no reflejen o se adapten a los nuevos usos o necesidades empresariales. La seguridad se debe adaptar y formar parte de la estructura de la prestación de servicios. 

Cómo puede ayudar Chakray

En Chakray, trabajamos con las organizaciones para garantizar que se realizan los controles de seguridad adecuados durante las implantaciones. Tratamos de comprender las prácticas de seguridad existentes en la organización y de aplicar las mejores durante la implantación. Trabajamos con especialistas en seguridad para ayudar a los clientes a alcanzar los mejores resultados posibles a la hora de afrontar la seguridad de tus sistemas y datos.

Puede que te interese...

Más información y lecturas sobre temas relacionados con esta página.

Gestión de APIs

10 tendencias claves en APIs

Chakray
Editing Team
Swapnil Bankar
Integrator Architect
Jamie Carter
Head of Business and Architecture Services
Kafka Process Flow
Swapnil Bankar
Integrator Architect

Habla con nuestros expertos

Contacta con nuestro equipo para hablar de tus iniciativas y descubre cómo Chakray puede ayudarte a conseguir resultados satisfactorios.

Contáctanos