प्रश्न: ज़ोंबी एपीआई और शैडो एपीआई के बीच क्या अंतर है?
निक रागो, फील्ड सीटीओ, नमक सुरक्षा: ज़ोंबी एपीआई और शैडो एपीआई एक बड़ी चुनौती के उप-उत्पादों का प्रतिनिधित्व करते हैं जिनसे निपटने के लिए उद्यम आज संघर्ष कर रहे हैं: एपीआई फैलाव।
जैसे-जैसे कंपनियां एपीआई से जुड़े व्यावसायिक मूल्य को अधिकतम करना चाहती हैं, एपीआई का प्रसार हुआ है। डिजिटल परिवर्तन, माइक्रोसर्विसेज के लिए ऐप आधुनिकीकरण, एपीआई-प्रथम ऐप आर्किटेक्चर, और तेजी से निरंतर सॉफ्टवेयर परिनियोजन विधियों में प्रगति ने संगठनों द्वारा बनाए गए और उपयोग में आने वाले एपीआई की संख्या में उच्च गति से वृद्धि को बढ़ावा दिया है। इस तीव्र एपीआई उत्पादन के परिणामस्वरूप, एपीआई फैलाव कई टीमों में प्रकट हुआ है जो कई वितरित बुनियादी ढांचे (ऑन-प्रिमाइसेस डेटा सेंटर, कई सार्वजनिक क्लाउड इत्यादि) में कई प्रौद्योगिकी प्लेटफार्मों (विरासत, कुबेरनेट्स, वीएम इत्यादि) का लाभ उठाते हैं। . ज़ॉम्बी एपीआई और शैडो एपीआई जैसी अवांछित इकाइयाँ तब उभरती हैं जब संगठनों के पास एपीआई फैलाव को प्रबंधित करने के लिए उचित रणनीतियाँ नहीं होती हैं।
सीधे शब्दों में कहें, एक ज़ोंबी एपीआई एक उजागर एपीआई या एक एपीआई समापन बिंदु है जो छोड़ दिया गया है, पुराना हो गया है, या भुला दिया गया है। एक बिंदु पर, एपीआई ने एक कार्य किया। हालाँकि, उस फ़ंक्शन की अब आवश्यकता नहीं रह गई है या API को नए संस्करण के साथ प्रतिस्थापित/अद्यतन कर दिया गया है। जब किसी संगठन के पास पुराने एपीआई को वर्जन करने, हटाने और बंद करने के आसपास उचित नियंत्रण नहीं होता है, तो वे एपीआई अनिश्चित काल तक चल सकते हैं - इसलिए, ज़ोंबी शब्द।
क्योंकि वे अनिवार्य रूप से भूल गए हैं, ज़ोंबी एपीआई को किसी भी कार्यात्मक या सुरक्षा क्षमता में कोई चल रही पैचिंग, रखरखाव या अपडेट प्राप्त नहीं होता है। इसलिए, ज़ोंबी एपीआई एक सुरक्षा जोखिम बन जाते हैं। वास्तव में, नमक सुरक्षा की "एपीआई सुरक्षा की स्थितिरिपोर्ट में अपने पिछले चार सर्वेक्षणों में ज़ोंबी एपीआई को संगठनों की नंबर 1 एपीआई सुरक्षा चिंता का नाम दिया गया है।
इसके विपरीत, एक छाया एपीआई एक उजागर एपीआई या एक एपीआई समापन बिंदु है जिसका निर्माण और तैनाती "रडार के तहत" की गई थी। शैडो एपीआई को किसी संगठन के आधिकारिक एपीआई प्रशासन, दृश्यता और सुरक्षा नियंत्रण के बाहर बनाया और तैनात किया गया है। नतीजतन, वे विभिन्न प्रकार के सुरक्षा जोखिम पैदा कर सकते हैं, जिनमें शामिल हैं:
- एपीआई में उचित प्रमाणीकरण और एक्सेस गेट नहीं हो सकते हैं।
- हो सकता है कि एपीआई संवेदनशील डेटा को अनुचित तरीके से प्रदर्शित कर रहा हो।
- एपीआई सुरक्षा के दृष्टिकोण से सर्वोत्तम प्रथाओं का पालन नहीं कर सकता है, जिससे यह कई लोगों के लिए असुरक्षित हो सकता है OWASP एपीआई सुरक्षा शीर्ष 10 हमले की धमकियाँ.
इसके पीछे कई प्रेरक कारक हैं कि कोई डेवलपर या ऐप टीम किसी एपीआई या एंडपॉइंट को जल्दी से क्यों तैनात करना चाहेगी; हालाँकि, प्रेरणा की परवाह किए बिना एपीआई कैसे और कब तैनात किया जाता है, इस पर नियंत्रण और प्रक्रिया लागू करने के लिए एक सख्त एपीआई शासन रणनीति का पालन किया जाना चाहिए।
जोखिमों को जोड़ते हुए, एपीआई फैलाव और ज़ोंबी और छाया एपीआई का उद्भव घर में विकसित एपीआई से आगे बढ़ता है। पैकेज्ड एप्लिकेशन, सास-आधारित सेवाओं और बुनियादी ढांचे के घटकों के हिस्से के रूप में तैनात और उपयोग किए जाने वाले तृतीय-पक्ष एपीआई भी समस्याएं पैदा कर सकते हैं यदि ठीक से आविष्कार, शासित और रखरखाव नहीं किया जाता है।
ज़ोंबी और छाया एपीआई समान दिखते हैं सुरक्षा जोखिम. किसी संगठन के मौजूदा एपीआई नियंत्रण (या उसके अभाव) के आधार पर, एक दूसरे की तुलना में कम या अधिक समस्याग्रस्त हो सकता है। ज़ोंबी और छाया एपीआई की चुनौतियों से निपटने के लिए पहले कदम के रूप में, संगठनों को इन्वेंट्री में मदद करने और अपने बुनियादी ढांचे में तैनात सभी एपीआई को समझने के लिए उचित एपीआई खोज तकनीक का उपयोग करना चाहिए। इसके अतिरिक्त, संगठनों को एक एपीआई शासन रणनीति अपनानी होगी जो टीम, प्रौद्योगिकी और बुनियादी ढांचे की परवाह किए बिना एपीआई के निर्माण, दस्तावेजीकरण, तैनाती और रखरखाव को मानकीकृत करती है।
