প্রশ্ন: জম্বি API এবং ছায়া API এর মধ্যে পার্থক্য কি?
নিক রাগো, ফিল্ড সিটিও, সল্ট সিকিউরিটি: জম্বি এপিআই এবং শ্যাডো এপিআই একটি বৃহত্তর চ্যালেঞ্জের উপ-পণ্য উপস্থাপন করে যা এন্টারপ্রাইজগুলি আজ মোকাবেলা করার জন্য লড়াই করছে: API স্প্রল।
যেহেতু কোম্পানিগুলি API-এর সাথে যুক্ত ব্যবসায়িক মূল্যকে সর্বাধিক করার চেষ্টা করে, APIগুলি প্রসারিত হয়েছে। ডিজিটাল রূপান্তর, মাইক্রোসার্ভিসে অ্যাপের আধুনিকীকরণ, API-প্রথম অ্যাপ আর্কিটেকচার, এবং দ্রুত ক্রমাগত সফ্টওয়্যার স্থাপন পদ্ধতিতে অগ্রগতি সংস্থাগুলির দ্বারা তৈরি এবং ব্যবহার করা API-গুলির সংখ্যার উচ্চ-বেগ বৃদ্ধিকে ত্বরান্বিত করেছে। এই দ্রুত এপিআই উৎপাদনের ফলে, এপিআই স্প্রল একাধিক টিম জুড়ে নিজেকে প্রকাশ করেছে যারা একাধিক প্রযুক্তি প্ল্যাটফর্ম (লেগেসি, কুবারনেটস, ভিএম, ইত্যাদি) একাধিক বিতরণ করা অবকাঠামো (অন-প্রিমিসেস ডেটা সেন্টার, একাধিক পাবলিক ক্লাউড, ইত্যাদি) জুড়ে ব্যবহার করে। . অবাঞ্ছিত সত্তা যেমন জম্বি এপিআই এবং শ্যাডো এপিআই আবির্ভূত হয় যখন এপিআই স্প্রল পরিচালনা করার জন্য প্রতিষ্ঠানের সঠিক কৌশল থাকে না।
সহজভাবে বলতে গেলে, একটি জম্বি API হল একটি উন্মুক্ত API বা একটি API এন্ডপয়েন্ট যা পরিত্যক্ত, পুরানো বা ভুলে গেছে। এক পর্যায়ে, API একটি ফাংশন পরিবেশন করে। যাইহোক, সেই ফাংশনটির আর প্রয়োজন নাও হতে পারে বা API একটি নতুন সংস্করণের সাথে প্রতিস্থাপন/আপডেট করা হয়েছে। যখন একটি প্রতিষ্ঠানের পুরানো APIগুলির সংস্করণ, অবমূল্যায়ন এবং সানসেট করার আশেপাশে যথাযথ নিয়ন্ত্রণ নেই, তখন সেই APIগুলি অনির্দিষ্টকালের জন্য স্থির থাকতে পারে — তাই, জম্বি শব্দটি।
কারণ সেগুলি মূলত ভুলে গেছে, জম্বি APIগুলি কোনও কার্যকরী বা সুরক্ষা ক্ষমতায় কোনও চলমান প্যাচিং, রক্ষণাবেক্ষণ বা আপডেটগুলি পায় না। অতএব, জম্বি এপিআইগুলি একটি নিরাপত্তা ঝুঁকিতে পরিণত হয়। আসলে সল্ট সিকিউরিটির “API নিরাপত্তার অবস্থা” প্রতিবেদনে গত চারটি সমীক্ষায় প্রতিষ্ঠানের নং 1 API নিরাপত্তা উদ্বেগ হিসাবে zombie API-এর নাম উল্লেখ করা হয়েছে।
বিপরীতে, একটি ছায়া API হল একটি উন্মুক্ত API বা একটি API এন্ডপয়েন্ট যার সৃষ্টি এবং স্থাপনা "রাডারের অধীনে" করা হয়েছিল। শ্যাডো এপিআই একটি প্রতিষ্ঠানের অফিসিয়াল API শাসন, দৃশ্যমানতা এবং নিরাপত্তা নিয়ন্ত্রণের বাইরে তৈরি এবং স্থাপন করা হয়েছে। ফলস্বরূপ, তারা বিভিন্ন ধরণের নিরাপত্তা ঝুঁকি তৈরি করতে পারে, যার মধ্যে রয়েছে:
- API-এর জায়গায় যথাযথ প্রমাণীকরণ এবং অ্যাক্সেস গেট নাও থাকতে পারে।
- API অনুপযুক্তভাবে সংবেদনশীল ডেটা প্রকাশ করছে।
- API একটি নিরাপত্তা দৃষ্টিকোণ থেকে সর্বোত্তম অনুশীলনগুলি মেনে চলতে পারে না, এটিকে অনেকের জন্য দুর্বল করে তোলে OWASP API নিরাপত্তা শীর্ষ 10 হামলার হুমকি।
কেন একটি ডেভেলপার বা অ্যাপ টিম দ্রুত একটি API বা এন্ডপয়েন্ট স্থাপন করতে চাইবে তার পিছনে বেশ কয়েকটি প্রেরণাদায়ক কারণ রয়েছে; যাইহোক, অনুপ্রেরণা নির্বিশেষে কীভাবে এবং কখন এপিআই মোতায়েন করা হয় তার উপর নিয়ন্ত্রণ এবং প্রক্রিয়া প্রয়োগ করতে একটি কঠোর API গভর্নেন্স কৌশল অনুসরণ করতে হবে।
ঝুঁকি যোগ করে, এপিআই স্প্রল এবং জম্বি এবং শ্যাডো এপিআই-এর আবির্ভাব ইন-হাউস এপিআই-এর বাইরেও প্রসারিত। প্যাকেজ করা অ্যাপ্লিকেশন, SaaS-ভিত্তিক পরিষেবা এবং অবকাঠামোগত উপাদানগুলির অংশ হিসাবে স্থাপন করা এবং ব্যবহার করা তৃতীয় পক্ষের APIগুলি সঠিকভাবে ইনভেন্টরি, পরিচালনা এবং রক্ষণাবেক্ষণ না করলে সমস্যাগুলিও আনতে পারে।
জম্বি এবং শ্যাডো এপিআই একই রকম পোজ দেয় নিরাপত্তা ঝুঁকি. একটি প্রতিষ্ঠানের বিদ্যমান API নিয়ন্ত্রণের উপর নির্ভর করে (বা এর অভাব), একটি অন্যটির তুলনায় কম বা বেশি সমস্যাযুক্ত হতে পারে। জম্বি এবং শ্যাডো এপিআই-এর চ্যালেঞ্জ মোকাবেলা করার প্রথম পদক্ষেপ হিসাবে, সংস্থাগুলিকে অবশ্যই একটি সঠিক API আবিষ্কার প্রযুক্তি ব্যবহার করতে হবে যাতে তাদের পরিকাঠামোতে মোতায়েন করা সমস্ত API গুলিকে ইনভেন্টরি এবং বুঝতে সহায়তা করে৷ অতিরিক্তভাবে, সংস্থাগুলিকে অবশ্যই একটি API গভর্নেন্স কৌশল অবলম্বন করতে হবে যা দল, প্রযুক্তি এবং অবকাঠামো নির্বিশেষে - কীভাবে API গুলি তৈরি, নথিভুক্ত, স্থাপন এবং রক্ষণাবেক্ষণ করা হয় তা প্রমিত করে।
