Comment Cisco assure la sécurité de ses API tout au long du processus de développement logiciel
Les développeurs de logiciels savent qu’il ne faut pas réinventer la roue. Ainsi, ils s’appuient sur des micro-services réutilisables et leurs interfaces de programmation d’application (API) correspondantes en tant que blocs de construction pour les composants d’application. Les développeurs veulent se concentrer sur la valeur ajoutée qu’ils peuvent apporter au lieu de reconstruire des choses qui ont déjà d’excellentes solutions, déclare Grace Francisco, vice-présidente des relations avec les développeurs, de la stratégie et de l’expérience chez Cisco. Les API facilitent l’utilisation par les développeurs.
Et ils ont consommé : près de 90 % des développeurs utilisent des API dans une certaine mesure, selon une enquête SlashData de 2020.
Le paysage chaotique des API
Bien qu’une telle approche du développement logiciel puisse être plus efficace, elle entraîne également des vulnérabilités de sécurité qui empêchent les RSSI de dormir la nuit. Avec l’introduction de SaaS interdépendants, de micro-services et d’API internes et externes, il devient plus difficile pour les organisations de contrôler quelles API sont mises à disposition pour une consommation interne et externe. Une telle architecture native du cloud interconnectée de manière vertigineuse rappelle les mots du Dr Seuss de Le chat dans le chapeau: Ce gâchis est si grand et si profond et si haut.
CiscoGrace Francisco, Ciscovice-présidente des relations avec les développeurs, de la stratégie et de l’expérience
Le désordre est également étalé. Les API sont souvent distribuées sur plusieurs plates-formes qui peuvent être sur site ou dans le cloud. Les architectures natives du cloud ne peuvent pas être regroupées dans une unité ordonnée avec un périmètre de sécurité robuste.
Pire encore, les API elles-mêmes ont des niveaux de sécurité variables, certaines obtenant des notes plus élevées que d’autres. Les API internes et externes peuvent être vulnérables et parfois le code peut avoir des dépendances indirectes sur les API vulnérables. Les vulnérabilités de l’API peuvent se produire à plusieurs couches, allant de la posture de sécurité du cloud, les images à partir desquelles l’application est construite, la configuration de l’application native du cloud, le logiciel qui constitue l’application elle-même et la mise en œuvre de l’API permettant le cloud -application native pour communiquer en interne et en externe.
Le développement agile d’aujourd’hui avec des pipelines CI/CD s’exécute sur des cycles de temps compressés, ce qui entraîne davantage de complications en matière de sécurité. Les sprints de deux semaines ne sont pas rares. Vous construisez et déployez si rapidement qu’il y a certaines choses que vous ne pouvez pas saisir ou comprendre jusqu’à ce qu’elles soient réellement en cours de production, dit Francisco. En matière de sécurité, mieux vaut tard que jamais, mais pousser les opérations de sécurité jusqu’à la fin du cycle de développement est une perte de temps et d’efforts.
Les développeurs utilisent souvent des passerelles API pour la gestion du cycle de vie des API, en contrôlant qui a accès et la granularité de cet accès. Les passerelles peuvent également surveiller qui est entré et sorti, en utilisant les services. Bien que les passerelles offrent une certaine sécurité, il reste encore des lacunes, explique Francisco.
Les cyberattaques étant une menace constante, les entreprises sont souvent en ligne pour chaque ligne de code qu’elles fournissent, quelle que soit leur origine. Ils ne peuvent pas se permettre un tel chaos avec les API.
Compte tenu du déploiement libéral des API et de l’augmentation correspondante du nombre de vecteurs d’attaque potentiels, les composants de sécurité des API sont de plus en plus passés au crible. Dans le processus de développement logiciel moderne, il y a beaucoup plus de pression sur la façon dont l’API est construite et déployée, déclare Ron Witte, architecte de livraison, cloud et applications personnalisées chez Capgemini Americas, il y a maintenant beaucoup plus d’attentes pour la qualité du code scans, scans de sécurité, tests en ligne. Le pipeline devient beaucoup plus complexe.
Solution de sécurité API de Cisco
Pour maîtriser la complexité du paysage des API et le rendre plus sécurisé, Cisco a adopté une stratégie de décalage vers la gauche, intégrant la sécurité plus tôt dans le processus de développement logiciel. La sécurité Shift-left consiste vraiment à donner la priorité à la sécurité et à la mettre au premier plan dans le travail quotidien d’un développeur afin qu’il puisse durcir son code et [decrease] les menaces de cyberattaques, dit Francisco.
Une API pour une API, une solution pour laquelle Cisco a remporté un prix CSO50 2022, intègre la sécurité dans le cycle de bout en bout des services d’API d’entreprise. L’outil aide du développement du code au déploiement, suit en direct la posture de sécurité des API pendant que l’application est en production et s’intègre aux passerelles API. La solution teste les interfaces API par rapport aux politiques de sécurité de Cisco.
La solution de bout en bout est destinée à la fois aux développeurs et aux professionnels de DevSecOps. D’un point de vue culturel, il nous reste beaucoup de travail à faire pour briser les silos entre ces groupes, car ils parlent une langue différente et ils examinent différents points de données, explique Francisco.
Alors que de nombreux outils se concentrent sur la sécurité, un avantage significatif de la solution API pour API est qu’elle rassemble tous les outils sous un parapluie commun avec une infrastructure de contrôle unique permettant aux développeurs d’obtenir des informations rapidement et efficacement. L’outil permet une meilleure visibilité tout au long du flux de travail afin que les développeurs et DevSecOps puissent être proactifs plutôt que réactifs, ajoute-t-elle. Tout aussi important, dit Francisco, l’outil rencontre à la fois les développeurs et les professionnels de la sécurité là où ils se trouvent. Les développeurs n’ont pas besoin de quitter leur environnement de développement intégré (IDE) pour accéder à l’outil, il s’intègre à l’IDE.
Disposer d’un ensemble d’outils unique permet à Cisco de créer et de déployer ses applications de manière sécurisée et reproductible tout en fournissant aux développeurs, aux SecOps et à la gestion des informations sur la sécurité.
Composants de la solution Cisco
Pour les développeurs, l’outil open source API Insights se trouve dans l’IDE et dispose d’une vue basée sur un navigateur. Les outils aident le développeur à coder et à pousser vers le pipeline CI/CD. La qualité des API est suivie pour la conformité aux normes de risque prédéfinies.
Cisco a sélectionné la plate-forme de sécurité des applications cloud native Panoptica pour collecter des informations sur les API tierces à l’échelle mondiale et les menaces de sécurité potentielles qu’elles représentent. Il peut mettre en évidence les problèmes potentiels avec les API tierces lorsque les développeurs les utilisent. L’outil fournit un suivi en direct et des informations au niveau de la production à mesure que le code est déployé dans la mise en scène, les tests et la production. Il collecte des informations et des données sur les API telles que les API zombies pendant l’exécution de l’application, pour détecter les menaces de sécurité, explique Francisco. Panoptica réimplémente également les fonctionnalités de l’outil open source APIClarity.
Witte rappelle l’importance d’une telle sécurité du point de vue du développement et de la production. Avoir des outils dans le pipeline qui imposent une bonne gouvernance est important, dit-il.
Défis et récompenses de la sécurité des API
Le plus grand défi dans la mise en œuvre de la solution API-pour-une-API était de réunir une équipe de personnes ayant des expériences et des compétences différentes en matière de développement, de sécurité et d’exploitation et de construire conjointement une plate-forme de livraison d’applications de bout en bout centrée sur la sécurité des API, dit Francisco. Cisco a réuni des équipes de nombreuses branches, notamment l’ingénierie, les technologies émergentes et les incubations, le service client et DevSecOps.
Conseils de Francisco aux RSSI : recherchez des opportunités pour relier les conversations et collaborer beaucoup plus étroitement avec les différentes équipes au lieu de les traiter séparément. Parlez de vos défis respectifs et arrivez à un vocabulaire commun car la langue fait partie du problème.
Witte est d’accord. La sécurité doit être le problème de tout le monde, cela commence dès le départ, vous devez construire pour la sécurité, dit-il, ajoutant que chaque développeur et architecte doit examiner le processus du point de vue de la confidentialité, de l’intégrité et de la responsabilité (CIA).
Intégrer la sécurité au processus dès le départ et regrouper tous les outils de l’équipe dans un système central permet à tout le monde d’être sur la même longueur d’onde. Comme Cisco l’a découvert, une telle transparence est un ingrédient clé pour une sécurité robuste, même si les cyberattaquants deviennent de plus en plus intelligents de jour en jour.
Copyright © 2022 IDG Communications, Inc.