A Machine-to-Machine (M2M) technológia olyan adatáramlást jelent, amely emberi közreműködés nélkül gépek között zajlik. Fő célja, hogy egy adott szervezet vagy folyamat működési hatékonyságát javítsa, új üzleti lehetőségeket aknázzon ki, és értéknövelt szolgáltatásokat hozzon létre. Az M2M alkalmazások időmegtakarítást és kockázatcsökkentést eredményeznek, ugyanakkor jelentősen csökkenthetik az energiafelhasználást és a környezetszennyezést.

A versenyképesség múlik rajta

Mára gyakorlatilag az összes iparágban rohamosan terjed a felhasználása, legyen szó az üzleti szféráról, az iparról, elektronikus kereskedelemről, egészségügyről, közszolgáltatásokról, telekommunikációról vagy a kormányzati rendszerekről, ahol lokálisan és globálisan egyaránt használhatóak. Erre a technológiára épül mind az Internet of Things (IoT), mind az Ipar 4.0 trend, de ide tartozik a pénzügyi szektort fenekestül felforgató fintech jelenség is.

A gépi kommunikáció egyik legfontosabb pillérét a technológia irányából megközelítve az API-k jelentik. Az API (Application Programming Interface) egy olyan csatlakozási felület, ami megvalósítja a programok és alkalmazások közötti háttér- vagy backend-kommunikációt. Ez teszi lehetővé az egyes programok vagy alkalmazások integrálását egymással és az informatikai rendszerrel. Elősegíti az üzletmenet és a vállalat hatékonyságát, agilitást biztosít a technológiai változásokhoz és segít a termékek, szolgáltatások felügyeletében, ellenőrzésében.

Minden túlzás nélkül állítható, hogy API-k a szoftverek jövőjét jelentik. Így jelentőségüket nem lehet túlbecsülni, hiszen a vállalatok versenyképességét biztosító integrációs képesség múlik ezeken.

Hamarosan a kiberbűnözés elsődleges célpontjává válik

Ezt támasztja alá az IDC FutureScape: Worldwide IT Industry 2018 Predictions felmérése is, mely szerint a világ 2000 legnagyobb vállalkozásának a fele 2021-re a digitális szolgáltatásainak egyharmadát nyílt API ökoszisztémára fogja építeni. Ez a folyamat már most is nyomon követhető, elég a ProgrammableWeb API-kat összegyűjtő statisztikáját megtekinteni, ami évről évre exponenciális növekedést mutat, és 2018-ban már közel 20 ezer nyílt API leírását listázza. Ezek között az egyszerű fizetési szolgáltatások épp úgy megtalálhatók, mint az okos villanykörte programozását lehetővé tévő API megoldások.

Az API-k és ezeken keresztül a gépi kommunikáció biztonságának a megteremtése tehát nem véletlenül nélkülözhetetlen és rendkívül sürgető feladat. Egyrészt azért, mert a fejlesztői, üzemeltetői hibákból eredő incidensek komoly anyagi kárt, akár közszolgáltatások kimaradást okozhatják, másrészt pedig azért, mert fontosságukból eredően hamarosan a kiberbűnözés elsődleges célpontjává válnak.

Igazolja ezt az OWASP (Open Web Application Security Project) TOP 10-es alkalmazás biztonsági kockázatokat listázó rangsora is, amely előkelő helyen foglalkozik azzal, hogy a legtöbb webalkalmazás nem kezeli kellő biztonsággal az érzékeny adatokat, valamint arról is említést tesz, hogy nagyon gyakran olyan alkalmazásrészeket és komponenseket használnak a programozók, amelyekben ismert sebezhetőségei vannak.

Az elmúlt bő egy évben számos olyan incidens látott napvilágot, melyeknek középpontjában az API sebezhetőségek játszották az elsődleges szerepet. A célpontok között felhőszolgáltatások, IoT-eszközök, telekommunikációs szolgáltatások, mi több biztonságtechnikai termékek is találhatóak. Elég a Salesforce, a Tesla, a Twillio vagy éppen a Carbon Black incidensekre gondolni, ahol fejlesztői hiba, üzemeltetési figyelmetlenség vagy éppen egy 3rd party API-ban található sebezhetőség okozta a problémát.

Kikényszeríteni a forgalom biztonságosságát

Miközben a gépi kommunikációra épülő megoldások gyakorlatilag az élet minden területét behálózzák és az API kommunikációra épülő eszközök, alkalmazások határozzák meg a felhőszolgáltatások teljes ökoszisztémáját, az ipari rendszerek fejlődését és az okos eszközök terjedését. A terület biztonsági aspektusaira egyelőre még nincsenek egzakt válaszok. Mit kezdünk az API-kban található szoftverhibákkal? Ha egyáltalán sikerül felfedezni ezeket, mennyire triviális ezek kijavítása? Hogyan kezelhető ez a szituáció, amikor egy alkalmazás akár több tucatnyi más szolgáltató API-ját használja? De egyáltalán mennyire kontrollálhatóak az API hozzáférések?

A magyar alapítású Balasys több mint tizenöt éve foglalkozik határvédelmi és egyéb hálózatbiztonsági technológiák fejlesztésével, új API Gateway megoldásával pedig éppen ezekre a kérdésekre kíván választ adni. A vállalat új fejlesztése egy olyan API biztonsági megoldás, amely képes kikényszeríteni (kiterjeszthető definíció alapján), hogy csak a megfelelőnek ítélt forgalom juthasson el az API kiszolgálókig, validáljon, naplózzon és opcionálisan transzformálja az áthaladó forgalmat.

A Balasys megoldása egy transzparens proxy technológiára épül, ami biztosítja a finomhangolható, az egyes szolgáltatásoknak akár API hívásonként történő engedélyezését, valamint széleskörű lehetőséget kínál testre szabható, dinamikus biztonsági szabályok alkotására. Ez a rugalmasság pedig a kockázatok csökkentése mellett az üzletmenetet is támogatja. Segítségével a hozzáférések kontrollálhatóak, és megakadályozható számos szoftverhibából eredő támadás. Legyen szó IoT eszközökről, a PSD2 (Payment Services Directive 2) hatálya alá tartozó pénzügyi szervezetekről, vagy telekommunikációs szolgáltatóról, az API-k által jelentett biztonsági kockázatok kezelése kikerülhetetlenné válik a következő években.

Tudjon meg többet a magyar fejlesztő vállalat szeptemberben bemutatott új technológiájáról: zorp-apigateway.com