Keamanan antarmuka pemrograman aplikasi (API) mengacu pada praktik mencegah atau mengurangi serangan pada API. API berfungsi sebagai kerangka kerja backend untuk aplikasi seluler dan web. Oleh karena itu, sangat penting untuk melindungi data sensitif yang mereka transfer. 

API Security adalah komponen kunci dari keamanan aplikasi web modern. API mungkin memiliki kerentanan seperti otentikasi dan otorisasi yang rusak, kurangnya pembatasan kecepatan, dan injeksi kode.

Hingga hari ini setidaknya 90% developers menggunakan API pada pengembangan cloud-native web application. Berdasarkan data yang didapat dan sudah dipresentasikan oleh Forrester Research yang berjudul “Improve API Performance with a Sound API Security Strategy”, 62% dari pengambil keputusan IT percaya bahwa nilai yang didapat dari API sebanding dengan proses yang sangat panjang itu untuk memastikan skala keamanan dengan maraknya penggunaan API untuk application development. Bukan sesuatu yang aneh jika organisasi merasa bahwa strategi keamanan tradisionalnya tidak mencukupi. Forrester Research melaporkan bahwa 97% dari para ahli IT menggunakan alat baru untuk menutupi gap keamanan dan untuk meningkatkan kemampuan API security-nya. Apa yang ingin didapat oleh para ahli IT ini dari API mereka dan bagaimana strategi keamanan API menghadapi tantangan dari pesaingnya?

Dari perspektif bisnis, 55% dari ahli IT sudah melakukan survey bahwa API meningkatkan software quality; 47% mengatakan bahwa API membuat mereka bisa menggunakan banyak kode; dan 46% melaporkan bahwa API membantu memperpendek cycle application development.

Bagaimana dengan keamanan API?

Forrester melansir bahwa perusahaan mengadopsi banyak alat untuk meyakinkan keamanan dari strategi API mereka. Lebih dari 20% dari semua responden mengadopsi lebih dari sembilan alat baru untuk meningkatkan strategi API, empat paling atas adalah servis mesh, manajemen API, solusi, API gateways, dan aplikasi mikro segmentasi.

Forrester juga melaporkan bahwa adopsi dari API bervariasi. Responden asal Jepang mengadopsi aplikasi mikro segmentasi dan solusi distributed denial-of-service (DDoS). Penawaran ari API adalah bisa mengklasifikasikan data dan memahami API footprint. Kebanyakan para pengambil keputusan fokus pada eskalasi keamanan untuk adopsi API (78%) dan 70% lainnya hanya menggunakan API seperti aplikasi internet-connected lainnya. Keluhan dominan mereka adalah kesulitan alat keamanan API. Dari manfaat yang sudah didapat, 71% para ahli menilai kemampuan untuk mengklasifikasikan data yang ditransfer melalui API paling banyak, kemudian diikuti oleh kemampuan untuk memenuhi persyaratan tentang API sebanyak 66%. Akhirnya, para ahli tidak hanya mengharap API security sebagai penjaga keamanan data perusahaan, tapi juga dapat mengurangi kompleksitas manajemen API itu sendiri. Selain itu, dengan keamanan data dan CX yang diperlukan, para ahli IT juga siap memberikan keamanan yang kuat dan visibilitas lebih oke. 

Forrester menawarkan 3 Rekomendasi API Security

Pastikan solusi API security-mu bisa mengatasi semua endpoints API

Meningkatkan kapabilitas bukan fitur yang paling penting dari sebuah strategi API Security. Penting diingat bahwa mereka tidak bisa mengamankan apa yang tidak mereka ketahui. Kamu perlu membuat inventori yang akurat, dan API bisa menguburnya dalam mobile atau web app atau mungkin muncul sebagai JavaScript dan XML. Inventori ini bukan hanya memperjelas apa yang harus dilindungi, tapi juga mengidentifikasi apabila API tidak sengaja dikembalikan ke tahap produksi

Amankan API dengan rencana, bukan hanya keinginan

API bukan hanya subjek dengan kode yang sama sebagai aplikasi web, mereka punya lebih banyak endpoints, penulis dengan multipartner, dan juga autentikasi serta otorisasi yang rumit, karena panggilan API bisa datang dari sisi yang sangat luas, customer, partner, ataupun yang melamar. Kamu harus menampilkan test pre-release yang sama untuk API code dan buat lagi test yang spesifik untuk identity data flow, masalah trust-leve, dan proteksi tahap produksi.

Pilih dengan hati-hati saat menentukan keamanan teknologi API

Karena mengamankan API itu rumit, para profesional security akan menentukan beberapa alat seperti pre-release testing, API management, deteksi traffic anomaly, service mesh, web application firewalls (WAFs), dan manajemen bot. Pilih sebanyak mungkin alat yang bisa digunakan untuk mengatasi masalah sulit. Terus dukung developer dan para keamanan profesional. Karena para keamanan profesional tidak memiliki info banyak mengenai data yang dikumpulkan API, dimana disimpan, dan siapa yang memiliki akses.

Pahami sepenuhnya apa saja yang terlibat di API security

Berhati-hatilah karena API gateway bukan sebuah kegagalan saat melindungi API dari cybersecurity yang rumit. Bagiku, ini lebih kepada titik critical. Kamu perlu melindungi API dengan model positive security yang bisa mendeteksi kerawanan dan eksploitasi.

Sumber: imperva.com