질문: 좀비 API와 섀도우 API의 차이점은 무엇입니까?
Nick Rago, 현장 CTO, Salt Security: 좀비 API와 섀도우 API는 오늘날 기업이 해결하기 위해 고군분투하고 있는 더 큰 문제인 API 스프롤의 부산물을 나타냅니다.
기업이 API와 관련된 비즈니스 가치를 극대화하고자 함에 따라 API가 급증했습니다. 디지털 트랜스포메이션, 마이크로서비스로의 앱 현대화, API 우선 앱 아키텍처, 신속하고 지속적인 소프트웨어 배포 방법의 발전으로 인해 조직에서 만들고 사용하는 API의 수가 빠르게 증가했습니다. 이러한 신속한 API 생산의 결과로, 여러 분산 인프라(온프레미스 데이터 센터, 여러 퍼블릭 클라우드 등)에서 여러 기술 플랫폼(레거시, Kubernetes, VM 등)을 활용하는 여러 팀에서 API 스프롤 현상이 나타났습니다. . 좀비 API 및 섀도우 API와 같은 원치 않는 엔터티는 조직에 API 스프롤을 관리하기 위한 적절한 전략이 없을 때 나타납니다.
간단히 말해서 좀비 API는 노출된 API 또는 버려지거나 오래되었거나 잊혀진 API 엔드포인트입니다. 한때 API는 기능을 제공했습니다. 그러나 해당 기능이 더 이상 필요하지 않거나 API가 최신 버전으로 대체/업데이트되었을 수 있습니다. 조직이 이전 API의 버전 관리, 사용 중단 및 종료에 대한 적절한 제어 기능을 갖추고 있지 않으면 해당 API가 무기한 남아있을 수 있습니다. 따라서 좀비라는 용어가 사용됩니다.
본질적으로 잊혀지기 때문에 좀비 API는 기능 또는 보안 용량에서 지속적인 패치, 유지 관리 또는 업데이트를 받지 않습니다. 따라서 좀비 API는 보안 위험이 됩니다. 실제로 솔트시큐리티의 “API 보안 상태” 보고서는 좀비 API를 지난 1번의 설문 조사에서 조직의 XNUMX순위 API 보안 문제로 지정했습니다.
대조적으로, 섀도우 API는 생성 및 배포가 "레이더 아래에서" 수행된 노출된 API 또는 API 엔드포인트입니다. Shadow API는 조직의 공식 API 거버넌스, 가시성 및 보안 제어 외부에서 생성 및 배포되었습니다. 결과적으로 다음과 같은 다양한 보안 위험이 발생할 수 있습니다.
- API에 적절한 인증 및 액세스 게이트가 없을 수 있습니다.
- API가 민감한 데이터를 부적절하게 노출하고 있을 수 있습니다.
- API는 보안 관점에서 모범 사례를 준수하지 않을 수 있으므로 많은 OWASP API 보안 상위 10개 공격 위협.
개발자 또는 앱 팀이 API 또는 엔드포인트를 신속하게 배포하려는 이유에는 여러 가지 동기 요인이 있습니다. 그러나 동기와 관계없이 언제 어떻게 API가 배포되는지에 대한 제어 및 프로세스를 시행하려면 엄격한 API 거버넌스 전략을 따라야 합니다.
위험에 더해 API 무분별한 확장과 좀비 및 섀도우 API의 출현은 사내에서 개발된 API를 넘어 확장됩니다. 패키지 애플리케이션, SaaS 기반 서비스 및 인프라 구성 요소의 일부로 배포 및 활용되는 타사 API도 적절하게 인벤토리, 통제 및 유지 관리되지 않으면 문제를 일으킬 수 있습니다.
좀비 및 섀도우 API는 유사한 포즈를 취합니다. 보안 위험. 조직의 기존 API 컨트롤(또는 컨트롤 부족)에 따라 하나는 다른 것보다 문제가 덜하거나 더 많을 수 있습니다. 좀비 및 섀도우 API 문제를 해결하기 위한 첫 번째 단계로 조직은 적절한 API 검색 기술을 사용하여 인프라에 배포된 모든 API의 인벤토리를 파악하고 이해해야 합니다. 또한 조직은 팀, 기술 및 인프라에 관계없이 API를 구축, 문서화, 배포 및 유지 관리하는 방법을 표준화하는 API 거버넌스 전략을 채택해야 합니다.
