Passer au contenu principal

Sécurité de l’API et de l’intégration

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed lacinia vel sapien at iaculis.

Sécurité de l'API et de l'intégration

La sécurité de l’API et de l’intégration sont souvent négligées ou traitées après réflexion dans les implémentations. Les projets d’APIs doivent reconnaître que l’ouverture d’APIs étend efficacement la surface d’attaque potentielle de l’organisation. Qu’il s’agisse d’attaques par déni de service, d’une architecture de sécurité compromise, d’une conception médiocre ou d’une authentification faible, la sécurité doit être sérieusement prise en compte dès la mise en œuvre.

Les organisations doivent mettre en œuvre des politiques, des procédures et une gouvernance de sécurité solides en matière de conception, de développement et de consommation. Les contrôles de sécurité doivent être intégrés à l’architecture, à la conception et à la réflexion globale. Les plateformes de gestion et d’intégration d’API implémentent diverses fonctionnalités qui peuvent aider à prendre en charge la mise en œuvre globale de la sécurité. Il est important que les organisations comprennent les fonctionnalités dont elles disposent et qu’elles les mettent en œuvre correctement lors de la livraison du projet.

Comment améliorer la sécurité de votre API et de votre intégration

Les organisations avec une forte maturité dans cet espace font de la sécurité une partie de leur ADN organisationnel. Implémentant souvent des frameworks de contrôle de sécurité comme NIST. En termes d’intégration et d’APIs, il est important de commencer par comprendre les données sous-jacentes:

  • Quelles données stockez-vous sur les personnes et où?
  • Quel est l’impact du déplacement des données?
  • Où les données sont-elles traitées et conservées par la suite?
  • Existe-t-il des considérations relatives à la protection des données, par exemple GDPR ou PII?
  • Comment les données sont-elles valorisées ou classées en termes de sensibilité?

Lors de l’intégration entre systèmes, nous commençons souvent avec un ensemble de privilèges qui font de l’utilisateur d’intégration un super-utilisateur dans les systèmes respectifs. Cela est en grande partie dû à l’opportunité de déboguer les problèmes liés aux autorisations au cours du développement. Avec ce type d’accès, nous ouvrons inévitablement les privilèges de super-utilisateur dans les processus et les APIs résultants que nous construisons. Il est important de revoir les comptes du système d’intégration pour s’assurer que les niveaux de privilège sont adaptés aux flux d’intégration et aux APIs que nous mettons en production. Lorsque nous ne pouvons pas verrouiller les privilèges dans le compte utilisateur d’intégration, nous devons nous assurer que nous fournissons des contrôles de sécurité supplémentaires au niveau de l’API.

Comprendre l’API en tant que produit, mettre en œuvre le contrôle de sécurité disponible dans la plateforme de gestion d’APIs, limiter le débit et mettre en liste blanche / noire les plages de réseau pertinentes contribuent tous à verrouiller l’implémentation. De même, une architecture d’API en couches qui sépare le système du processus et de l’expérience ou du système des couches d’engagement et d’innovation est un principe de conception solide à mettre en œuvre.

La séparation des environnements et des préoccupations lors du déploiement devrait également être une pratique courante. En outre, s’assurer que tout ce que vous exposez en externe est testé par un tiers doit faire partie du plan de livraison du projet ainsi que des pratiques de test sécurisées et robustes pendant le développement.

Il est également important de s’assurer que, après la mise en œuvre, il y a une observabilité à 360 degrés de la plateforme en termes d’infrastructure et de surveillance de la sécurité. La sécurité est un comportement organisationnel et les brèches doivent apparaître comme des comportements dans les données de surveillance. Configurées correctement, les organisations doivent être en mesure de garder une longueur d’avance en termes de mise en œuvre de la sécurité.

Des erreurs fréquentes dans la sécurité de l'API et de l'intégration

L’erreur la plus courante et la plus importante des organisations est de laisser jusqu’à la fin la sécurité de l’API et de l’intégration, quand il doit faire partie des premiers principes dans l’approche de toute mise en œuvre.

Une autre erreur clé est de ne pas classer les ensembles de données avec lesquels vous travaillez en fonction de leur sensibilité ou même de reconnaître que lors du mélange d’objets de données, la sensibilité de l’objet résultant doit être classée. Les implémentations d’API consistent à proposer vos données à la consommation par les développeurs à l’intérieur et à l’extérieur de l’organisation. Il est impératif de comprendre les rôles et les niveaux d’accès à mettre en œuvre.

Échouer à:

  • tenir compte de la sécurité lors des tests.
  • intégrer la surveillance de la sécurité dans votre implémentation.
  • coucher et séparer votre architecture.

Ce sont tous les signes d’une organisation qui n’a pas encore fait de la sécurité une partie de son ADN. De même en ce qui concerne les politiques de sécurité globales qui ne reflètent pas ou ne s’adaptent pas aux nouveaux cas d’utilisation ou aux besoins commerciaux. La sécurité doit être adaptative et faire partie de la culture de livraison.

Comment Chakray peut vous aider?

Chez Chakray, nous travaillons avec les organisations pour nous assurer que les contrôles de sécurité appropriés sont mis en œuvre pendant les implémentations. Nous cherchons activement à comprendre les pratiques de sécurité existantes au sein de l’organisation et à mettre en œuvre les meilleures pratiques lors du déploiement. Nous travaillons en partenariat avec des spécialistes de la sécurité pour aider les clients à obtenir les meilleurs résultats possibles lorsqu’ils abordent la sécurité de leurs systèmes et données.

Peut-être que ça peut vous intéresser…

Plus d'informations et de lecture sur des sujets liés à cette page

legacy
Sudaraka Jayashanka
Managing Director
Jagath Ariyarathne
Solutions Architect
Vince Blogg
Technical Lead

Parlez avec un de nos experts dès aujourd'hui!

Contactez notre équipe pour discuter de vos initiatives et découvrir comment Chakray peut vous aider à atteindre vos objectifs.

Contactez-nous