Что такое инвентаризация API: обзор инвентаризации API?

Jul 17, 2023

Главная » Календарь публикаций » Безопасность API » Что такое инвентаризация API: обзор инвентаризации API?

Инвентаризация API является неотъемлемым компонентом управления и соответствия API и представляет собой процесс идентификации каждого API, развернутого во всех средах организации, его использования, пользователей, ограничений и профиля безопасности. Используя эту инвентаризацию, необходимо создать и постоянно обновлять полный каталог API, чтобы получить представление о количестве API, используемых в организации, и их основной цели. Такая каталогизация помогает решать проблемы, возникающие из-за неконтролируемого распространения API-интерфейсов в организации. Такой подход к инвентаризации важен для обеспечения эффективной программы безопасности API.

Экономика API растет, и предприятия становятся свидетелями быстрого внедрения API. Согласно отчету о состоянии API, экономика API является главным приоритетом для более чем 59% организаций. Добавьте к этому тот факт, что в этом году больше разработчиков будут полагаться на API, чем в предыдущие годы, и вы сможете понять значение API в организации.

API-интерфейсы бывают разных форм и размеров, и их можно разделить на различные категории: веб-интерфейсы, браузерные, стандартные, встроенные и другие. Их также можно классифицировать по области применения, включая микросервисы, одноцелевые, совокупные и т. д. Их разнообразная характеристика и тот факт, что организации не могут обойтись без них, делают инвентаризацию абсолютной необходимостью.

Инвентаризация API имеет решающее значение с точки зрения безопасности и управления. Прежде всего, вы не можете защитить то, что не видите, поэтому полный список API является наиболее важным первым шагом в инициативе по обеспечению безопасности API. Инвентаризация среды выполнения также повышает осведомленность об API для соответствующих владельцев бизнеса, что очень важно, поскольку большинство организаций не имеют четкого представления о том, кому принадлежат API. Они не знают о количестве API, которые использует их организация, и поэтому не могут развернуть комплексную стратегию безопасности API. Вы не сможете защитить API, если не знаете, сколько их существует в различных средах.

Организации борются с разрастанием API в результате преобладания гибридной архитектуры, включая локальные, центры обработки данных, публичные облака, частные облака и периферийные вычисления. Еще одной причиной быстрого и неуправляемого распространения API в организации является растущее использование инфраструктуры микросервисов, необходимость ускоренного выпуска и развертывания программного обеспечения, а также отказ от API.

Это приводит к проблемам в эксплуатации и безопасности. Распространение конечных точек API ограничивается не только несколькими средами, но и различными командами в этих средах. Это также увеличивает затраты на разработку; Представьте себе сценарий, в котором API были созданы для определенного процесса, но невозможность каталогизировать API означает, что его существование потеряно, и разработчики снова создают тот же API, что приводит к распространению теневых API.

Невозможность развивать и обновлять свой инвентарь означает крайнее отсутствие прозрачности конфигураций API и трафика. Кроме того, существует отличная вероятность разработки ИТ-системы с ненадежными API-интерфейсами из-за неправильной конфигурации API. Отсутствие управления запасами означает, что в ИТ-среде имеется множество недокументированных API, многие из которых остаются незащищенными, что делает их легкой мишенью для злоумышленников, желающих совершить мошенничество, злоупотребить бизнес-логикой и подорвать бизнес.

Чрезвычайно подробная, хорошо систематизированная инвентаризация имеет решающее значение для обеспечения безопасности API, управления и соответствия требованиям, но создание четкого плана инвентаризации API остается сложной задачей. Подсчет API вручную становится серьезной проблемой, поскольку многие API постоянно изменяются или обновляются. Организации, которые зависят от пассивных инструментов инвентаризации или сканеров, попадают в ловушку устаревшего подхода к управлению запасами, что приводит к неточной картине API от проектирования до производства и развертывания. Детальная видимость API ускользает от них, что становится большой брешью в их стратегии безопасности API.