Küsimus: Mis vahe on zombie API-del ja vari-API-del?
Nick Rago, soolaturbe valdkonna tehniline juht: Zombie API-d ja vari-API-d on kõrvalsaadused suuremast väljakutsest, millega ettevõtted täna võitlevad: API laialivalgumine.
Kuna ettevõtted püüavad API-dega seotud äriväärtust maksimeerida, on API-d vohanud. Digitaalne ümberkujundamine, rakenduste moderniseerimine mikroteenusteks, API-põhiste rakenduste arhitektuurid ja kiire pideva tarkvara juurutusmeetodite edusammud on soodustanud organisatsioonide loodud ja kasutatavate API-de arvu kiiret kasvu. Selle kiire API-tootmise tulemusena on API laialivalgumine ilmnenud mitmes meeskonnas, kes kasutavad mitut tehnoloogiaplatvormi (pärand, Kubernetes, VM-id jne) mitme hajutatud infrastruktuuri (kohapealsed andmekeskused, mitmed avalikud pilved jne) vahel. . Soovimatud üksused, nagu zombie API-d ja vari-API-d, tekivad siis, kui organisatsioonidel pole API laialivalgumise haldamiseks sobivaid strateegiaid.
Lihtsamalt öeldes on zombie API avatud API või API lõpp-punkt, mis on hüljatud, aegunud või unustatud. Ühel hetkel täitis API funktsiooni. Kuid seda funktsiooni ei pruugita enam vaja minna või API on asendatud/värskendatud uuema versiooniga. Kui organisatsioonil puuduvad vanade API-de versioonimise, kasutusest loobumise ja sulgemise nõuetekohane juhtelement, võivad need API-d jääda lõputult tööle – sellest ka termin zombi.
Because they are essentially forgotten, zombie APIs don’t receive any ongoing patching, maintenance, or updates in any functional or security capacity. Therefore, the zombie APIs become a security risk. In fact, Salt Security’s “API turvalisuse olek” report names zombie APIs as organizations’ No. 1 API security concern over its past four surveys.
In contrast, a shadow API is an exposed API or an API endpoint whose creation and deployment were done “under the radar.” Shadow APIs have been created and deployed outside of an organization’s official API governance, visibility, and security controls. Consequently, they can pose a wide variety of security risks, including:
- API-l ei pruugi olla õiget autentimist ja juurdepääsuväravat.
- API võib tundlikke andmeid valesti paljastada.
- API ei pruugi turvalisuse seisukohast järgida parimaid tavasid, mistõttu on see haavatav paljude OWASP API turvalisuse top 10 rünnakuähvardused.
Mitmed motiveerivad tegurid on taga, miks arendaja või rakenduse meeskond soovib API või lõpp-punkti kiiresti juurutada; Siiski tuleb järgida ranget API juhtimisstrateegiat, et jõustada kontrolle ja protsesse selle üle, kuidas ja millal API juurutatakse, sõltumata motivatsioonist.
Riske suurendavad API laialivalgumine ning zombi- ja vari-API-de tekkimine, mis ulatuvad kaugemale ettevõttesiseselt välja töötatud API-dest. Pakendatud rakenduste, SaaS-põhiste teenuste ja infrastruktuuri komponentide osana juurutatud ja kasutatavad kolmanda osapoole API-d võivad samuti tekitada probleeme, kui neid ei inventeerita, ei juhita ega hooldata korralikult.
Zombie ja vari API-d kujutavad endast sarnast turvariskid. Depending on an organization’s existing API controls (or lack thereof), one may be less or more problematic than the other. As a first step to tackle the challenges of zombie and shadow APIs, organizations must use a proper API discovery technology to help inventory and understand all of the APIs deployed in their infrastructures. Additionally, organizations must adopt an API governance strategy that standardizes how APIs are built, documented, deployed, and maintained — regardless of team, technology, and infrastructure.
