On sait que les aplications sont truffées de ces petits bouts de programme, les API (Interface de programmation d’application). Elles sont « invisibles » mais peuvent être vulnérables. L’éditeur Cloudflare lance Cloudflare API Gateway, un service qui fournit un moyen simple et efficace de protéger et contrôler l’ensemble de leurs API.
En 2020 déjà, 89% des développeurs utilisaient des API. Elles sont si nombreuses qu’elles ne sont pas toujours identifiées et constituent des « Shadow API »!. Elles font tourner le monde. Nos téléphones, nos montres connectées, nos systèmes bancaires et les sites d’achats ne peuvent communiquer que grâce aux API, et ces dernières sont à l’origine de plus de 50 % de l’ensemble des requêtes HTTP circulant sur le réseau global Cloudflare. Cette croissance explosive fait plus que jamais peser sur les entreprises de toutes tailles l’impérieuse nécessité de disposer d’une solide protection et d’une vision claire de leur suite d’API.
Les organisations ont plus que jamais recours aux API, mais nombre d’entre elles peinent à les sécuriser L’objectif de la solution est de simplifier les procédures d’identification, de sécurisation et de gestion des API de n’importe quel protocole sur l’un des plus vastes et plus interconnectés des réseaux au monde.
« Les API n’ont jamais été conçues dans une optique de sécurité, elles sont pourtant aujourd’hui impliquées dans pratiquement chaque application »
« Les API n’ont jamais été conçues dans une optique de sécurité. Pour autant, les API sont aujourd’hui impliquées dans pratiquement chaque application utilisée par un consommateur ou un employé, le plus souvent associées à des données personnelles sensibles » explique Matthew Prince, PDG et cofondateur de Cloudflare.
« Chaque jour, le réseau Cloudflare bloque environ 86 milliards de cybermenaces pour nos clients. Nous sommes convaincus qu’aucun autre outil API ne voit l’ampleur ou le volume de menaces que nous observons. Nous avons créé une nouvelle génération de moteurs d’intelligence artificielle et d’apprentissage automatisé qui élève la gestion des API à un niveau supérieur avec la détection des nouvelles API et la prévention des menaces. À l’instar des autres produits Cloudflare, API Gateway offrira ses services pour un coût réduit et sans la latence produite par les anciennes solutions. », commente Matthew Prince.
Les fonctionnalités
Cloudflare avait déjà lancé, en janvier 2020 le API Shield. Beaucoup plus global, Cloudflare API Gateway permet aux entreprises de :
- Identifier et arrêter les utilisations abusives des API : en mettant à profit le moteur d’apprentissage automatisé de Cloudflare, unique en son genre et qui traite plus de 32 millions de requêtes par seconde, les clients peuvent désormais analyser automatiquement leur trafic d’API afin de détecter et prévenir les utilisations abusives d’API.
- Détecter automatiquement les API non gérées : à mesure que l’utilisation de l’API s’intensifie, il arrive que les développeurs publient des API sans que les équipes de sécurité ne soient informées. Cloudflare API Gateway analyse passivement l’ensemble du réseau et dresse automatiquement une liste des points de terminaison API afin de garantir une totale visibilité.
- Créer et gérer des API directement avec Cloudflare Workers : les clients pourront avoir recours à des intégrations avec Cloudflare Workers pour créer des API légères et dynamiques s’exécutant à notre périphérie.
- Se décharger des procédures d’authentification et d’autorisation : la passerelle prendra en charge les protocoles en vigueur tels que OAuth 2.0, JSON Web Tokens (JWT) et s’appuiera sur les méthodes d’authentification disponibles dans Cloudflare Access telles que Mutual TLS et les jetons de service.
Les fonctionnalités de validation de schéma, de découverte des API, mTLS et de détection des utilisations abusives d’API sont d’ores et déjà disponibles, mais d’autres sont prévues pour cette année. Pour en savoir plus sur Cloudflare API Gateway, veuillez consulter les ressources ci-dessous :
- Blogpost: Cloudflare annonce API Gateway
- Pour en savoir plus sur API Gateway
