Pertanyaan: Apa perbedaan antara API zombie dan API bayangan?
Nick Rago, CTO Lapangan, Keamanan Garam: Zombie API dan shadow API mewakili produk sampingan dari tantangan yang lebih besar yang sedang diperjuangkan oleh perusahaan saat ini: API sprawl.
Saat perusahaan berusaha memaksimalkan nilai bisnis yang terkait dengan API, API telah menjamur. Transformasi digital, modernisasi aplikasi ke layanan mikro, arsitektur aplikasi yang mengutamakan API, dan kemajuan dalam metode penyebaran perangkat lunak berkelanjutan yang cepat telah memicu pertumbuhan kecepatan tinggi dari jumlah API yang dibuat dan digunakan oleh organisasi. Sebagai hasil dari produksi API yang cepat ini, API sprawl telah memanifestasikan dirinya di beberapa tim yang memanfaatkan beberapa platform teknologi (lawas, Kubernetes, VM, dll.) di berbagai infrastruktur terdistribusi (pusat data lokal, beberapa cloud publik, dll.) . Entitas yang tidak diinginkan seperti API zombie dan API bayangan muncul ketika organisasi tidak memiliki strategi yang tepat untuk mengelola penyebaran API.
Sederhananya, API zombie adalah API yang terbuka atau titik akhir API yang telah ditinggalkan, ketinggalan zaman, atau dilupakan. Pada satu titik, API memiliki fungsi. Namun, fungsi tersebut mungkin tidak diperlukan lagi atau API telah diganti/diperbarui dengan versi yang lebih baru. Ketika sebuah organisasi tidak memiliki kontrol yang tepat di sekitar pembuatan versi, penghentian, dan penghentian API lama, API tersebut dapat bertahan tanpa batas waktu โ oleh karena itu, istilah zombie.
Karena mereka pada dasarnya dilupakan, API zombie tidak menerima tambalan, pemeliharaan, atau pembaruan apa pun yang sedang berlangsung dalam kapasitas fungsional atau keamanan apa pun. Oleh karena itu, API zombie menjadi risiko keamanan. Faktanya, โStatus Keamanan APIโ laporan menyebut API zombie sebagai masalah keamanan API No. 1 organisasi selama empat survei terakhirnya.
Sebaliknya, API bayangan adalah API terbuka atau titik akhir API yang pembuatan dan penerapannya dilakukan "di bawah radar". Shadow API telah dibuat dan diterapkan di luar kontrol keamanan, visibilitas, dan tata kelola API resmi organisasi. Akibatnya, mereka dapat menimbulkan berbagai risiko keamanan, termasuk:
- API mungkin tidak memiliki autentikasi dan gerbang akses yang tepat.
- API mungkin mengekspos data sensitif secara tidak benar.
- API mungkin tidak mengikuti praktik terbaik dari sudut pandang keamanan, membuatnya rentan terhadap banyak hal Keamanan API OWASP 10 Teratas ancaman serangan.
Sejumlah faktor pendorong menjadi alasan mengapa pengembang atau tim aplikasi ingin menerapkan API atau titik akhir dengan cepat; namun, strategi tata kelola API yang ketat harus diikuti untuk menegakkan kontrol dan proses tentang bagaimana dan kapan API diterapkan terlepas dari motivasinya.
Menambah risiko, API sprawl dan munculnya API zombie dan bayangan melampaui API yang dikembangkan sendiri. API pihak ketiga yang disebarkan dan digunakan sebagai bagian dari paket aplikasi, layanan berbasis SaaS, dan komponen infrastruktur juga dapat menimbulkan masalah jika tidak diinventarisasi, diatur, dan dipelihara dengan benar.
Zombie dan shadow API berpose serupa risiko keamanan. Bergantung pada kontrol API organisasi yang ada (atau ketiadaannya), yang satu mungkin kurang atau lebih bermasalah daripada yang lain. Sebagai langkah pertama untuk mengatasi tantangan API zombi dan bayangan, organisasi harus menggunakan teknologi penemuan API yang tepat untuk membantu inventarisasi dan memahami semua API yang diterapkan di infrastruktur mereka. Selain itu, organisasi harus mengadopsi strategi tata kelola API yang menstandarkan cara pembuatan, dokumentasi, penerapan, dan pemeliharaan API โ terlepas dari tim, teknologi, dan infrastruktur.
