Aprenda a configurar esquemas de segurança no OpenAPI (Swagger). Veja como documentar autenticação OAuth2, API Keys e proteger sua API contra ataques através da especificação.
Pesquisa da Axway sobre open everything aponta que profissionais de tecnologia estão preocupados com a garantia da segurança de dados e controle da expansão das APIs
O open everything é um conceito recente que consiste na exploração do ecossistema digital para aproveitar oportunidades emergentes utilizando a infraestrutura de tecnologia da informação (TI) que a companhia já tem. A Axway realizou pesquisa sobre o tema e comprovou que cerca de 40% das organizações estão adotando abordagens híbridas para suas infraestruturas de TI.
Dica de Leitura: Se você está preocupado com a segurança de dados e controle da expansão das APIs, é fundamental entender como proteger seus ambientes de desenvolvimento. Leia sobre Segurança em Docker: Lições de Incidentes Reais e aprenda a lidar com desafios de segurança de forma eficaz.
VAI GOSTAR:
A empresa ouviu cerca de mil líderes de TI, arquitetos e desenvolvedores sobre suas estratégias digitais e principais preocupações. 68% apontam receios em relação à dispersão de APIs. De acordo com Vince Padua, chief innovation and technology officer da Axway, as organizações estão no meio da transformação digital e as migrações de dados e nuvens que as acompanham tornaram possível liberar os dados para que possam ser trocados, reutilizados e remodelados para alimentar a inovação e o crescimento dos negócios. “Mas é complicado”, alerta. “Isso traz complexidade e desafios de segurança que devem ser respondidos usando uma gestão de API verdadeiramente universal – que faz a ponte entre a lacuna do desenvolvimento de APIs e o consumo e faz a abertura de dados, linhas de negócios e inovação, ao mesmo tempo em que se desenvolve e sai da infraestrutura legada”, diz Padua.
Dois terços dos profissionais, o que corresponde a 68% dos entrevistados, afirmam estar preocupados com a complexidade da expansão. Enquanto isso, 48% classificam o aumento dos desafios de segurança como a maior preocupação a partir do crescimento das APIs.
APIs abertas e estruturas híbridas trazem inúmeros benefícios a quem as adota, conforme indica o executivo. É possível, diz, expandir alcance, ao disponibilizar serviços ou dados para outras organizações permitindo o desenvolvimento de aplicações multiplataforma que podem economizar tempo e dinheiro. Além disso, é possível aumentar a flexibilidade e escalabilidade por serem adaptáveis às mudanças nas necessidades dos clientes ou condições de mercado e oferecendo novas oportunidades de colaboração e parcerias.
A importância da segurança no open everything
Os desafios de segurança aparecem na pesquisa, sobretudo, na criação de APIs e na configuração de um novo serviço managed transfired files (MFT). A preocupação apareceu para 30% e 48% dos entrevistados das duas áreas, respectivamente.
As ferramentas de proteção contra ciberataques são necessárias para evitar acessos não autorizados, violação de dados e outros. Entre as recomendações da Axway, estão: usar métodos seguros de autenticação e autorização, como OAuth ou JWT; e criptografar dados sensíveis em trânsito e em repouso. Ademais, há a opção de monitorar e registrar regularmente o uso de API para detectar e responder a atividades suspeitas; e manter a API e todas as dependências atualizadas com os mais recentes ajustes de segurança.
Ainda, Padua acescenta: “Também é importante rever as integrações de terceiros e certificar-se de que elas também estejam seguras. Além disso, é recomendado conduzir avaliações regulares de segurança, testes de penetração e varreduras para identificar e resolver quaisquer vulnerabilidades potenciais”. Na pesquisa, 59% utilizam autenticação do usuário e 61% apostam na criptografia de dados.
As empresas parecem estar cientes da importância da segurança: nos últimos dois anos, as empresas vêm aumentando orçamentos para o melhor gerenciamento de APIs. 50% da amostra ouvida pela Axway constatou que os orçamentos estão modestamente elevados. 34% viram um aumento de até 25%, enquanto menos de 20% disseram ter se deparado com reduções.
Mão de obra qualificada
A questão da segurança no open everything esbarra na falta de conhecimento sobre o tema. 86% dos entrevistados de API afirmam temer uma lacuna de conhecimento no longo prazo. Entre os fatores, há o ritmo acelerado das mudanças tecnológicas. “Conforme novas tecnologias, tais como computação em nuvem, inteligência artificial e microsserviços são desenvolvidas e adotadas, as habilidades necessárias para apoiá-las e mantê-las em constante evolução também evoluem”, comenta o executivo. Para Padua, as empresas precisam de ajuda para encontrar funcionários com a combinação certa de habilidades e experiência. Além disso, cita a necessidade de profissionais mais qualificados. Isso porque a demanda por infraestrutura de TI e especialistas em software empresarial está crescendo. Padua justifica ainda que a pandemia e o trabalho remoto, bem como a integração e interconexão de sistemas de TI, vem exigindo mais dos profissionais.
LEIA TAMBÉM:
Continue aprendendo:
Agora que você já sabe sobre a pesquisa da Axway sobre open everything, que tal avançar seus conhecimentos em Kubernetes, uma ferramenta importante para gerenciar e orquestrar contêineres? Kubernetes explicado – com diagramas que fazem sentido
Perguntas Frequentes (FAQ): Segurança e OpenAPI
Qual a diferença entre OpenAPI e Swagger?
OpenAPI é o nome oficial da especificação (o padrão), enquanto Swagger refere-se ao conjunto de ferramentas (como Swagger UI e Swagger Editor) que implementam essa especificação. Em termos de segurança, o OpenAPI define “como” a regra deve ser escrita e as ferramentas Swagger “mostram” isso visualmente.
O que é o componente ‘securitySchemes’ no OpenAPI 3.0?
É a seção do documento onde você centraliza os métodos de autenticação aceitos pela sua API. Ali você define se usa http bearer (para JWT), apiKey (via Header ou Query) ou oauth2 (com fluxos de autorização). Uma vez definido o esquema, você pode aplicá-lo globalmente ou apenas em rotas específicas.
Como o OpenAPI ajuda a prevenir ataques de injeção?
Através da definição rigorosa de esquemas (Schemas) para os corpos das requisições. Ao especificar tipos de dados (ex: integer, uuid, date-time) e limites de tamanho, você permite que firewalls de aplicação (WAF) ou middlewares de validação bloqueiem automaticamente payloads maliciosos antes mesmo de chegarem à lógica do seu servidor.
