Forrester: API's vereisen 'zero trust'-principes

De API-economie staat volop in de belangstelling. Voor 58% van de deelnemers aan de tweede editie van het jaarlijkse RapidAPI Developer-onderzoek van Forrester is deelname aan de API-economie een topprioriteit. Met name deelnemers uit de telecomindustrie, de gezondheidszorg en de financiële dienstverlening zeggen heel veel gebruik te maken van deze manier om data, diensten en applicaties te koppelen.

Grote problemen met digitale inbraken zoals bij Capital One, JustDial en T-Mobile geven volgens Venturebeat aan dat er te veel vertrouwen is in de beveiliging van de omgeving waarbinnen de API wordt gebruikt. REST API's bieden direct toegang tot transacties zonder dat daarvoor een route via de webapplicatie nodig is, benadrukt Forrester in zijn analyse. Daardoor zijn de API's onvoldoende beschermd.

Eerst inventaristeren

Forrester adviseert DevOps-teams en de technische ontwerpers om een nauwkeurige inventarisatie te maken van welke API's vanuit publiek toegankelijke netwerken te benaderen zijn. Die moeten aangepast worden op het zero-trust framework. Een overkoepelende API-beveiligingsstrategie is de enige manier om tegemoet te komen aan de eisen voor compliance en beveiligingsrisico's.

Met een goede inventarisatie is het voor DevOps-teams ook gelijk duidelijk welke API's bestaan en welke goed beveiligd zijn. Zo kunnen ook onbedoelde koppelvlakken worden geïdentificeerd die een risico vormen voor de veiligheid van de data. Volgens Forrester ligt het accent nu nog te veel op de innovatie en wordt onvoldoende nagedacht over de beveiliging.