Como reduzir a multiplicação de APIs com a descoberta de APIs
Se você trabalha com segurança, então provavelmente conhece o conceito de multiplicação. Sempre que a proliferação de um possível vetor de ataque fica fora de controle, você acaba lidando com a multiplicação: de permissões a senhas.
É algo parecido com o filme Gremlins, dos anos 80. Você começa com uma bola de pelos fofinha, mas, conforme a história de desenvolve, percebe que está cercado por uma multidão de criaturas problemáticas gritando e quebrando as coisas.
Filmes à parte, há uma multiplicação com a qual muitas organizações não estão familiarizadas — e que está se tornando um vetor de ataque comum: a multiplicação de APIs.
Como lidar com os gremlins (ou com a multiplicação de APIs)
Para cada aplicativo que você cria, cada carga de trabalho que você migra na nuvem e cada ferramenta que seus funcionários usam para colaborar, há APIs nos bastidores trocando dados. E o ritmo da inovação está fazendo com que suas APIs entrem no modo gremlin completo.
A proliferação de APIs é um problema comum para organizações que têm várias equipes de desenvolvimento e uma ampla variedade de aplicativos e serviços. À medida que mais inovação é exigida, mais APIs são criadas, e torna-se cada vez mais difícil contabilizá-las, entender como estão sendo usadas e que tipos de dados são produzidos quando elas são chamadas.
A multiplicação de APIs pode levar a ineficiências no desenvolvimento, aumento de custos, problemas de desempenho e desperdício de recursos. Isso também pode levar a uma confusão sobre o propósito e o uso de certas APIs, dificultando que os desenvolvedores encontrem APIs para suas necessidades ou entendam como elas interagem umas com as outras. À medida que as empresas se tornam mais dependentes de APIs, é importante entender como ocorre sua multiplicação e como ela pode ser evitada ou gerenciada de forma eficaz.
Nesta publicação, vamos falar sobre como a multiplicação de APIs acontece e o que as organizações podem fazer para evitar que ela ocorra. Entender essas estratégias pode ajudar você a gerenciar melhor suas APIs e garantir que seus aplicativos permaneçam eficientes e sustentáveis por anos vindouros.
Como ocorre a multiplicação de APIs
A multiplicação de APIs pode ocorrer por uma variedade de razões, como o gerenciamento ineficiente de APIs, a falta de governança, a falta de visibilidade das APIs existentes e a documentação inadequada. Sem governança e visibilidade adequadas, as organizações podem se deparar com muitas APIs que não estão sendo usadas ou gerenciadas adequadamente.
As mudanças inesperadas nos quadros de funcionários também contribuem muito com o surgimento de APIs adormecidas, sombra e zumbi. Pense na frequência com que os desenvolvedores entram e saem de organizações: quais são as chances de que eles tenham tempo para transferir seus conhecimentos ou terminar projetos antes do último dia de trabalho? Até mesmo os desenvolvedores com as melhores intenções vão se esquecer de algumas coisas durante o processo de transferência de responsabilidades.
Além disso, APIs que foram "herdadas" como resultado de uma fusão ou aquisição são frequentemente esquecidas. Durante a tarefa desafiadora e complicada de integração de sistemas, os inventários são às vezes perdidos (ou possivelmente nem existiam). Se as APIs da empresa adquirida não estiverem documentadas corretamente, a empresa poderá enfrentar riscos significativos — o risco do desconhecido, por exemplo.
Muitas vezes, uma versão mais antiga de uma API com segurança reduzida ou uma vulnerabilidade conhecida é deixada intacta. Enquanto o software está sendo atualizado, uma versão mais antiga pode precisar coexistir com uma versão mais recente por um período de tempo. Ao mesmo tempo, a pessoa encarregada do versionamento adequado e da desativação da API poderá sair da empresa, receber uma nova tarefa ou esquecer-se de remover a versão anterior.
Consequências da multiplicação de APIs
Com relação à segurança, a multiplicação de APIs cria mais oportunidades para que agentes mal-intencionados explorem vulnerabilidades se as APIs de uma organização não estiverem devidamente protegidas e configuradas. Quando as APIs se multiplicam a ponto de não haver controles, as organizações perdem visibilidade sobre como aplicativos, sistemas e recursos, como dados confidenciais, estão interligados — impedindo a tomada de decisões embasadas sobre sua arquitetura e infraestrutura. É quase impossível monitorar o uso de APIs sem uma visão precisa de quantas APIs você tem.
E você não pode proteger aquilo que não vê.
Em termos de impactos nos negócios, a multiplicação de APIs pode levar a uma diminuição no desempenho. Adicionar e manter várias APIs aumenta a complexidade de gerenciá-las, resultando em tempos de resposta mais lentos e maior latência ao fazer solicitações. Além disso, a multiplicação de APIs pode aumentar os custos, pois as organizações precisam investir mais recursos no gerenciamento de APIs.
O que é a descoberta de APIs e como ela reduz a expansão de APIs?
A descoberta de APIs é um processo e um conjunto de recursos que ajudam as organizações a identificar, catalogar e gerenciar e avaliar o risco entre suas APIs. Realizada corretamente, a descoberta de APIs pode ajudar a reduzir a multiplicação de APIs e melhorar a postura de segurança.
A descoberta de APIs também ajuda as organizações a entender melhor seu cenário atual de APIs e a tomar decisões embasadas sobre futuros desenvolvimentos. Além disso, ela facilita o monitoramento e o controle do acesso a essas APIs, garantindo que apenas usuários autorizados possam acessá-las.
Por que a descoberta manual de APIs não é uma opção
Durante uma auditoria manual de APIs, pode levar até 40 horas por API para que todas as informações necessárias sejam documentadas com precisão. Além disso, pode levar muito mais tempo para investigar a ocorrência, avaliar o dano, tomar medidas corretivas e realizar investigação de causa raiz.
As equipes de segurança que fazem o uso exaustivo de recursos podem se beneficiar de procedimentos automatizados para descobrir todas as APIs utilizadas e proteger seu patrimônio de APIs. É crucial encontrar e inventariar cada API em todas as suas atividades digitais, que inclui APIs e domínios de APIs que não são controlados por um gateway de APIs.
Como a Akamai pode ajudar a reduzir a multiplicação de APIs em seu patrimônio
Ao chegar ao final desta publicação, vale a pena parar por um momento e analisar... suas APIs se multiplicaram ainda mais enquanto você estava lendo?
A multiplicação de APIs pode ser algo bem intenso. A melhor pergunta a fazer é: você quer aprimorar os recursos de descoberta de APIs de sua organização? Se a resposta for sim, gostaríamos de ajudar.
O Akamai API Security foi projetado para ajudar você a manter um inventário preciso de todas as suas APIs, incluindo APIs sombra ardilosas. Aqui estão alguns recursos que podem ajudar você a reduzir o risco e aumentar a confiança em seu inventário de APIs:
Nosso módulo de descoberta permite que as equipes de segurança obtenham visibilidade total de inúmeras fontes de dados em ambientes no local e na nuvem por meio de uma experiência de usuário simplificada.
O Akamai API Security pode ser dimensionado para centenas ou milhares de partes de infraestrutura, monitoramento de balanceadores de carga, gateways de APIs e firewalls de aplicativos da Web para ajudar você a localizar e catalogar todos os tipos de API, incluindo HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC e gRPC.
Nossos recursos de classificação de dados monitoram o tráfego de APIs e fornecem visibilidade sobre os tipos de dados que atravessam suas APIs, para que você possa ver rapidamente quantas APIs são capazes de acessar dados de cartões de crédito, números de telefone, números de identidade e outros dados confidenciais.