De ce sunt API-urile Zombie și API-urile Shadow atât de înfricoșătoare?

Întrebare: Care este diferența dintre API-urile zombie și API-urile umbră?

Nick Rago, Field CTO, Salt Security: API-urile Zombie și API-urile umbră reprezintă produse secundare ale unei provocări mai mari pe care întreprinderile se străduiesc să o facă față astăzi: extinderea API-urilor.

Pe măsură ce companiile încearcă să maximizeze valoarea afacerii asociată cu API-urile, API-urile au proliferat. Transformarea digitală, modernizarea aplicațiilor la microservicii, arhitecturile de aplicații bazate pe API și progresele în metodele rapide de implementare continuă a software-ului au alimentat creșterea cu viteză mare a numărului de API-uri create și utilizate de organizații. Ca rezultat al acestei producții rapide de API, extinderea API s-a manifestat în mai multe echipe care folosesc mai multe platforme tehnologice (veghe, Kubernetes, VM-uri etc.) pe mai multe infrastructuri distribuite (centre de date locale, mai multe cloud-uri publice etc.) . Entitățile nedorite, cum ar fi API-urile zombie și API-urile umbră, apar atunci când organizațiile nu au strategiile adecvate pentru a gestiona extinderea API-urilor.

Mai simplu spus, un API zombi este un API expus sau un punct final API care a devenit abandonat, învechit sau uitat. La un moment dat, API-ul a servit o funcție. Cu toate acestea, este posibil ca această funcție să nu mai fie necesară sau API-ul a fost înlocuit/actualizat cu o versiune mai nouă. Atunci când o organizație nu are controale adecvate în ceea ce privește versiunea, deprecierea și eliminarea vechilor API-uri, acele API-uri pot persista la nesfârșit - de aici, termenul zombie.

Because they are essentially forgotten, zombie APIs don’t receive any ongoing patching, maintenance, or updates in any functional or security capacity. Therefore, the zombie APIs become a security risk. In fact, Salt Security’s “Starea securității API” report names zombie APIs as organizations’ No. 1 API security concern over its past four surveys.

In contrast, a shadow API is an exposed API or an API endpoint whose creation and deployment were done “under the radar.” Shadow APIs have been created and deployed outside of an organization’s official API governance, visibility, and security controls. Consequently, they can pose a wide variety of security risks, including:

• Este posibil ca API-ul să nu aibă autentificare și porți de acces adecvate.
• Este posibil ca API-ul să expună datele sensibile în mod necorespunzător.
• Este posibil ca API-ul să nu adere la cele mai bune practici din punct de vedere al securității, ceea ce îl face vulnerabil la multe dintre ele OWASP API Security Top 10 amenințări de atac.

O serie de factori motivaționali sunt în spatele motivului pentru care un dezvoltator sau o echipă de aplicație ar dori să implementeze rapid un API sau un punct final; cu toate acestea, trebuie urmată o strategie strictă de guvernare a API pentru a impune controale și procese asupra modului și când este implementat un API, indiferent de motivație.

Adăugând la riscuri, extinderea API-urilor și apariția API-urilor zombie și umbră se extind dincolo de API-urile dezvoltate intern. API-urile terță parte implementate și utilizate ca parte a aplicațiilor pachetate, a serviciilor bazate pe SaaS și a componentelor de infrastructură pot, de asemenea, să introducă probleme dacă nu sunt inventariate, guvernate și întreținute corespunzător.

API-urile zombie și umbră se prezintă similar riscuri de securitate. Depending on an organization’s existing API controls (or lack thereof), one may be less or more problematic than the other. As a first step to tackle the challenges of zombie and shadow APIs, organizations must use a proper API discovery technology to help inventory and understand all of the APIs deployed in their infrastructures. Additionally, organizations must adopt an API governance strategy that standardizes how APIs are built, documented, deployed, and maintained — regardless of team, technology, and infrastructure.