Dlaczego API Zombie i Shadow API są tak przerażające?

Pytanie: Jaka jest różnica między interfejsami API zombie a interfejsami Shadow API?

Nick Rago, dyrektor ds. technologii terenowych, bezpieczeństwo soli: Interfejsy API Zombie i Shadow API stanowią produkty uboczne większego wyzwania, z którym borykają się obecnie przedsiębiorstwa: rozprzestrzeniania się interfejsów API.

W miarę jak firmy starają się maksymalizować wartość biznesową związaną z interfejsami API, następuje ich mnożenie. Transformacja cyfrowa, modernizacja aplikacji w kierunku mikrousług, architektury aplikacji oparte na interfejsach API oraz postęp w metodach szybkiego, ciągłego wdrażania oprogramowania przyczyniły się do szybkiego wzrostu liczby interfejsów API tworzonych i używanych przez organizacje. W wyniku szybkiego tworzenia interfejsów API rozprzestrzenianie się interfejsów API ujawniło się w wielu zespołach, które korzystają z wielu platform technologicznych (starszych wersji, Kubernetes, maszyn wirtualnych itp.) w wielu rozproszonych infrastrukturach (lokalne centra danych, wiele chmur publicznych itp.). . Niepożądane elementy, takie jak interfejsy API zombie i interfejsy API cienia, pojawiają się, gdy organizacje nie mają odpowiednich strategii zarządzania rozprzestrzenianiem się interfejsów API.

Mówiąc najprościej, interfejs API zombie to odsłonięty interfejs API lub punkt końcowy interfejsu API, który został porzucony, przestarzały lub zapomniany. W pewnym momencie API pełniło pewną funkcję. Jednak ta funkcja może nie być już potrzebna lub interfejs API został zastąpiony/zaktualizowany nowszą wersją. Jeśli organizacja nie dysponuje odpowiednią kontrolą w zakresie wersjonowania, wycofywania i wycofywania starych interfejsów API, te interfejsy API mogą działać w nieskończoność — stąd termin zombie.

Ponieważ w zasadzie się o nich zapomina, interfejsy API zombie nie są poddawane żadnym bieżącym łataniom, konserwacjom ani aktualizacjom pod względem funkcjonalności lub bezpieczeństwa. Dlatego interfejsy API zombie stają się zagrożeniem bezpieczeństwa. W rzeczywistości firma Salt Security „Stan bezpieczeństwa API”w raporcie wymieniono interfejsy API zombie jako największy problem związany z bezpieczeństwem interfejsów API organizacji w ciągu ostatnich czterech ankiet.

Natomiast Shadow API to odsłonięty API lub punkt końcowy API, którego utworzenie i wdrożenie odbyło się „potajemnie”. Shadow API zostały utworzone i wdrożone poza oficjalnym zarządzaniem API organizacji, jego widocznością i kontrolą bezpieczeństwa. W związku z tym mogą stwarzać różnorodne zagrożenia bezpieczeństwa, w tym:

• Interfejs API może nie mieć odpowiednich bramek uwierzytelniających i dostępu.
• Interfejs API może nieprawidłowo udostępniać wrażliwe dane.
• Interfejs API może nie być zgodny z najlepszymi praktykami z punktu widzenia bezpieczeństwa, przez co jest podatny na wiele z Bezpieczeństwo API OWASP Top 10 groźby ataku.

Za tym, że programista lub zespół aplikacji chce szybko wdrożyć interfejs API lub punkt końcowy, kryje się wiele czynników motywujących. należy jednak przestrzegać ścisłej strategii zarządzania interfejsami API, aby wymusić kontrolę i proces dotyczący sposobu i czasu wdrożenia interfejsu API, niezależnie od motywacji.

Do zagrożeń dochodzi także rozrastanie się interfejsów API oraz pojawienie się interfejsów API zombie i cieni, które wykraczają poza interfejsy API opracowane wewnętrznie. Interfejsy API innych firm wdrożone i wykorzystywane jako część aplikacji pakietowych, usług opartych na SaaS i komponentów infrastruktury mogą również powodować problemy, jeśli nie są odpowiednio inwentaryzowane, zarządzane i konserwowane.

Interfejsy API zombie i cienia są podobne zagrożenia bezpieczeństwa. W zależności od istniejących mechanizmów kontroli API w organizacji (lub ich braku) jeden z nich może być mniej lub bardziej problematyczny od drugiego. Pierwszym krokiem do sprostania wyzwaniom związanym z interfejsami API zombie i cieni jest użycie odpowiedniej technologii wykrywania interfejsów API, która pomoże w inwentaryzacji i zrozumieniu wszystkich interfejsów API wdrożonych w ich infrastrukturze. Ponadto organizacje muszą przyjąć strategię zarządzania interfejsami API, która standaryzuje sposób tworzenia, dokumentowania, wdrażania i utrzymywania interfejsów API — niezależnie od zespołu, technologii i infrastruktury.