Soru: Zombi API'leri ile gölge API'ler arasındaki fark nedir?
Nick Rago, Saha CTO'su, Salt Güvenliği: Zombi API'leri ve gölge API'ler, işletmelerin bugün mücadele ettiği daha büyük bir sorunun yan ürünlerini temsil ediyor: API'nin yayılması.
Şirketler API'lerle ilişkili iş değerini en üst düzeye çıkarmaya çalışırken API'ler çoğaldı. Dijital dönüşüm, mikro hizmetlere yönelik uygulama modernizasyonu, API öncelikli uygulama mimarileri ve hızlı, sürekli yazılım dağıtım yöntemlerindeki gelişmeler, kuruluşlar tarafından oluşturulan ve kullanılan API'lerin sayısında yüksek hızda artışa neden oldu. Bu hızlı API üretiminin bir sonucu olarak, API yayılımı, birden fazla dağıtılmış altyapı (şirket içi veri merkezleri, birden fazla genel bulut vb.) genelinde birden fazla teknoloji platformundan (eski, Kubernetes, VM'ler vb.) yararlanan birden fazla ekipte kendini gösterdi. . Zombi API'ler ve gölge API'ler gibi istenmeyen varlıklar, kuruluşların API yayılımını yönetmek için uygun stratejilere sahip olmadığı durumlarda ortaya çıkar.
Basitçe ifade etmek gerekirse zombi API, açıkta kalan bir API veya terk edilmiş, güncelliğini kaybetmiş veya unutulmuş bir API uç noktasıdır. Bir noktada API bir işleve hizmet etti. Ancak bu işleve artık ihtiyaç duyulmayabilir veya API daha yeni bir sürümle değiştirilmiş/güncellenmiş olabilir. Bir kuruluş, eski API'lerin sürümlendirilmesi, kullanımdan kaldırılması ve kullanımdan kaldırılması konusunda uygun kontrollere sahip olmadığında, bu API'ler süresiz olarak oyalanabilir; dolayısıyla zombi terimi kullanılır.
Zombi API'ler esasen unutuldukları için herhangi bir işlevsellik veya güvenlik kapasitesinde devam eden herhangi bir yama, bakım veya güncelleme almazlar. Bu nedenle zombi API'leri bir güvenlik riski haline gelir. Aslında Salt Güvenlik'in “API Güvenliğinin Durumu” raporu, son dört ankette zombi API'lerini kuruluşların 1 numaralı API güvenlik endişesi olarak adlandırıyor.
Buna karşılık, gölge API, açıkta kalan bir API veya oluşturulması ve dağıtılması "radar altında" gerçekleştirilen bir API uç noktasıdır. Gölge API'ler, bir kuruluşun resmi API yönetimi, görünürlüğü ve güvenlik kontrolleri dışında oluşturulmuş ve dağıtılmıştır. Sonuç olarak, aşağıdakiler de dahil olmak üzere çok çeşitli güvenlik riskleri oluşturabilirler:
- API'de uygun kimlik doğrulama ve erişim kapıları bulunmayabilir.
- API, hassas verileri uygunsuz bir şekilde açığa çıkarıyor olabilir.
- API, güvenlik açısından en iyi uygulamalara bağlı kalmayabilir ve bu da onu birçok saldırıya karşı savunmasız hale getirebilir. OWASP API Güvenliği İlk 10 saldırı tehditleri.
Bir geliştiricinin veya uygulama ekibinin bir API'yi veya uç noktayı hızlı bir şekilde dağıtmak istemesinin arkasında bir dizi motive edici faktör vardır; ancak motivasyona bakılmaksızın bir API'nin nasıl ve ne zaman dağıtılacağına ilişkin kontrolleri ve süreçleri uygulamak için katı bir API yönetişim stratejisi takip edilmelidir.
Risklere ek olarak API'lerin yayılması ve zombi ve gölge API'lerin ortaya çıkışı, şirket içinde geliştirilen API'lerin ötesine geçiyor. Paketlenmiş uygulamaların, SaaS tabanlı hizmetlerin ve altyapı bileşenlerinin bir parçası olarak dağıtılan ve kullanılan üçüncü taraf API'ler de, uygun şekilde envantere alınmaz, yönetilmez ve bakımı yapılmaz ise sorunlara yol açabilir.
Zombi ve gölge API'leri benzer durumda güvenlik riskleri. Bir kuruluşun mevcut API kontrollerine (veya bunların eksikliğine) bağlı olarak biri diğerinden daha az veya daha fazla sorunlu olabilir. Zombi ve gölge API'lerin yarattığı zorlukların üstesinden gelmenin ilk adımı olarak kuruluşların, altyapılarında konuşlandırılan tüm API'lerin envanterinin çıkarılmasına ve anlaşılmasına yardımcı olacak uygun bir API keşif teknolojisi kullanması gerekir. Ek olarak kuruluşlar, ekip, teknoloji ve altyapıdan bağımsız olarak API'lerin nasıl oluşturulduğunu, belgelendiğini, dağıtıldığını ve sürdürüldüğünü standartlaştıran bir API yönetişim stratejisini benimsemelidir.
