De ce sunt API-urile Zombie și API-urile Shadow atât de înfricoșătoare?

Întrebare: Care este diferența dintre API-urile zombie și API-urile umbră?

Nick Rago, Field CTO, Salt Security: API-urile Zombie și API-urile umbră reprezintă produse secundare ale unei provocări mai mari pe care întreprinderile se străduiesc să o facă față astăzi: extinderea API-urilor.

Pe măsură ce companiile încearcă să maximizeze valoarea afacerii asociată cu API-urile, API-urile au proliferat. Transformarea digitală, modernizarea aplicațiilor la microservicii, arhitecturile de aplicații bazate pe API și progresele în metodele rapide de implementare continuă a software-ului au alimentat creșterea cu viteză mare a numărului de API-uri create și utilizate de organizații. Ca rezultat al acestei producții rapide de API, extinderea API s-a manifestat în mai multe echipe care folosesc mai multe platforme tehnologice (veghe, Kubernetes, VM-uri etc.) pe mai multe infrastructuri distribuite (centre de date locale, mai multe cloud-uri publice etc.) . Entitățile nedorite, cum ar fi API-urile zombie și API-urile umbră, apar atunci când organizațiile nu au strategiile adecvate pentru a gestiona extinderea API-urilor.

Mai simplu spus, un API zombi este un API expus sau un punct final API care a devenit abandonat, învechit sau uitat. La un moment dat, API-ul a servit o funcție. Cu toate acestea, este posibil ca această funcție să nu mai fie necesară sau API-ul a fost înlocuit/actualizat cu o versiune mai nouă. Atunci când o organizație nu are controale adecvate în ceea ce privește versiunea, deprecierea și eliminarea vechilor API-uri, acele API-uri pot persista la nesfârșit - de aici, termenul zombie.

Deoarece sunt în esență uitate, API-urile zombie nu primesc nicio corecție, întreținere sau actualizări în curs de desfășurare în nicio capacitate funcțională sau de securitate. Prin urmare, API-urile zombie devin un risc de securitate. De fapt, „Starea securității API” raportul numește API-urile zombie drept principala preocupare a organizațiilor privind securitatea API-urilor în ultimele patru sondaje.

În schimb, un API umbră este un API expus sau un punct final API a cărui creare și implementare au fost făcute „sub radar”. API-urile umbra au fost create și implementate în afara controlului oficial al API-urilor de guvernare, vizibilitate și securitate. În consecință, acestea pot prezenta o mare varietate de riscuri de securitate, inclusiv:

• Este posibil ca API-ul să nu aibă autentificare și porți de acces adecvate.
• Este posibil ca API-ul să expună datele sensibile în mod necorespunzător.
• Este posibil ca API-ul să nu adere la cele mai bune practici din punct de vedere al securității, ceea ce îl face vulnerabil la multe dintre ele OWASP API Security Top 10 amenințări de atac.

O serie de factori motivaționali sunt în spatele motivului pentru care un dezvoltator sau o echipă de aplicație ar dori să implementeze rapid un API sau un punct final; cu toate acestea, trebuie urmată o strategie strictă de guvernare a API pentru a impune controale și procese asupra modului și când este implementat un API, indiferent de motivație.

Adăugând la riscuri, extinderea API-urilor și apariția API-urilor zombie și umbră se extind dincolo de API-urile dezvoltate intern. API-urile terță parte implementate și utilizate ca parte a aplicațiilor pachetate, a serviciilor bazate pe SaaS și a componentelor de infrastructură pot, de asemenea, să introducă probleme dacă nu sunt inventariate, guvernate și întreținute corespunzător.

API-urile zombie și umbră se prezintă similar riscuri de securitate. În funcție de controalele API existente ale unei organizații (sau de lipsa acestora), una poate fi mai puțin sau mai problematică decât cealaltă. Ca prim pas pentru a aborda provocările API-urilor zombi și umbră, organizațiile trebuie să utilizeze o tehnologie adecvată de descoperire a API-urilor pentru a ajuta la inventarierea și înțelegerea tuturor API-urilor implementate în infrastructurile lor. În plus, organizațiile trebuie să adopte o strategie de guvernare API care să standardizeze modul în care sunt construite, documentate, implementate și întreținute API-urile - indiferent de echipă, tehnologie și infrastructură.