Почему Zombie API и Shadow API такие страшные?

Вопрос: В чем разница между зомби-API и теневым API?

Ник Раго, полевой технический директор Salt Security: API-интерфейсы-зомби и теневые API представляют собой побочный продукт более серьезной проблемы, которую предприятия пытаются решить сегодня: разрастания API.

Поскольку компании стремятся максимизировать бизнес-ценность, связанную с API, API-интерфейсы распространяются. Цифровая трансформация, модернизация приложений до микросервисов, архитектура приложений, ориентированная на API, а также достижения в методах быстрого непрерывного развертывания программного обеспечения способствовали быстрому росту количества API, созданных и используемых организациями. В результате быстрого создания API разрастание API проявилось среди множества команд, которые используют несколько технологических платформ (устаревшие, Kubernetes, виртуальные машины и т. д.) в нескольких распределенных инфраструктурах (локальные центры обработки данных, несколько публичных облаков и т. д.). . Нежелательные сущности, такие как зомби-API и теневые API, появляются, когда у организаций нет надлежащих стратегий для управления разрастанием API.

Проще говоря, API-зомби — это открытый API или конечная точка API, которая стала заброшенной, устаревшей или забытой. В какой-то момент API выполнял свою функцию. Однако эта функция может больше не понадобиться, или API был заменен/обновлен более новой версией. Когда в организации нет надлежащего контроля над управлением версиями, устареванием и прекращением использования старых API, эти API могут сохраняться на неопределенный срок — отсюда и термин «зомби».

Поскольку о них по сути забывают, зомби-API не получают никаких текущих исправлений, обслуживания или обновлений в плане функциональности или безопасности. Таким образом, зомби-API становятся угрозой безопасности. Фактически, Salt Security»Состояние безопасности APIВ отчете «зомби-API» названы проблемой безопасности API № 1 в организациях за последние четыре опроса.

Напротив, теневой API — это открытый API или конечная точка API, создание и развертывание которого были выполнены «незаметно». Теневые API были созданы и развернуты за пределами официального управления API, видимости и безопасности организации. Следовательно, они могут представлять широкий спектр угроз безопасности, в том числе:

• API может не иметь надлежащих шлюзов аутентификации и доступа.
• Возможно, API неправильно раскрывает конфиденциальные данные.
• API может не соответствовать лучшим практикам с точки зрения безопасности, что делает его уязвимым для многих Топ-10 безопасности API OWASP угрозы нападения.

Ряд мотивирующих факторов лежит в основе того, почему разработчик или команда приложения хотят быстро развернуть API или конечную точку; однако необходимо соблюдать строгую стратегию управления API, чтобы обеспечить контроль и процессы над тем, как и когда развертывается API, независимо от мотивации.

К рискам добавляется разрастание API и появление зомби- и теневых API, выходящих за рамки API, разработанных собственными силами. Сторонние API, развернутые и используемые как часть пакетных приложений, сервисов SaaS и компонентов инфраструктуры, также могут создавать проблемы, если их неправильно инвентаризировать, управлять и обслуживать.

Зомби и теневые API выглядят одинаково риски безопасности. В зависимости от существующих в организации элементов управления API (или их отсутствия), один из них может быть менее или более проблематичным, чем другой. В качестве первого шага к решению проблем зомби- и теневых API организации должны использовать правильную технологию обнаружения API, которая поможет провести инвентаризацию и понять все API-интерфейсы, развернутые в их инфраструктурах. Кроме того, организации должны принять стратегию управления API, которая стандартизирует способы создания, документирования, развертывания и обслуживания API — независимо от команды, технологии и инфраструктуры.