El ecosistema de API es global y se expande rápidamente. En su Informe sobre el estado de las API de 2021, Postman informó que su base de usuarios abarcaba 234 países y que, en conjunto, realizaron 855 millones de solicitudes de API. Más de la mitad de los encuestados de Postman también indicaron que implementan nuevas API en producción una vez al día, una vez a la semana o una vez al mes. Del mismo modo, Axway informó que las empresas con enfoque API-first están creando API en horas o días en lugar de semanas o meses, lo que les permite entregar más de 40 proyectos digitales al año. Estas estadísticas reflejan una cadencia de entrega rápida y un panorama de API cambiante que inevitablemente resulta en más API y una superficie de ataque de API en constante evolución.
La proliferación significativa de API se ha convertido en una expansión descontrolada de API, lo que aumenta los desafíos operativos y de seguridad para las organizaciones. Varios factores contribuyen a la proliferación de API, entre ellos:
- Adopción de patrones de diseño nativos de la nube y arquitecturas de microservicios
- Uso de infraestructura en la nube habilitada para API
- Soporte para poblaciones de usuarios consumidores y empleados cada vez más móviles, así como identidades de máquinas
- Consumo de servicios entregados como SaaS y aplicaciones móviles
- Integraciones con socios y proveedores, comúnmente conocidas como cadenas de suministro digitales
Las disparidades en los protocolos de API también contribuyen a la proliferación de API, ya que es posible que se necesiten construir o integrar múltiples API para soportar diversos clientes y tipos de servicio. REST sigue dominando gran parte del panorama de las API, pero GraphQL también está ganando adopción, al igual que gRPC dentro de las arquitecturas de microservicios.
¿Cómo llegamos hasta aquí?
Es prácticamente imposible para una organización satisfacer todos los elementos de una transacción de cliente o empleado de principio a fin. Casi todas las entidades, independientemente de la industria, trabajan con otros proveedores y socios para facilitar la funcionalidad o intercambiar datos. Desde su adopción generalizada a principios de la década de 2000, las API son el principal mecanismo para proporcionar funcionalidad y servir datos. La proliferación de API resultante es un indicador de la eficacia de las API para la prestación de servicios.
La proliferación de API introduce importantes desafíos operativos y de seguridad para las organizaciones. Las preocupaciones apremiantes incluyen el riesgo de abuso de la lógica de negocio, la exposición de datos y los impactos en la privacidad. Con la proliferación de API, también existe una alta probabilidad de que una organización determinada solo comprenda una fracción de su consumo total de API. Estos desafíos no pueden abordarse utilizando enfoques tradicionales como las pasarelas de API o los firewalls de aplicaciones web (WAF). De hecho, la mayoría de los problemas de seguridad de API presentados en el OWASP API Security Top 10 no son directamente solucionables con estas tecnologías.
El desafío de la gestión de activos API
Muchas organizaciones están adoptando la infraestructura y los servicios en la nube en alguna medida, y la computación en la nube se ha vuelto cada vez más abstracta. Las organizaciones también siguen alojando una gran cantidad de sistemas y aplicaciones en centros de datos locales. Además, muchas organizaciones adoptan otras "modalidades de nube" más allá de la infraestructura como servicio, incluyendo plataformas de contenedores gestionados o Kubernetes, plataformas de aplicaciones de bajo código y plataformas sin servidor o de función como servicio. Algunas organizaciones también consumen con frecuencia ofertas de software como servicio para apoyar su negocio. Kubernetes en sí mismo es una infraestructura declarativa, con la que se interactúa a través de una API. Y la mayoría de las aplicaciones o servicios que se construyen hoy en día están habilitados para API o son API-first.
El inventario de API de una organización es también más que las API que intermedia con pasarelas API o las API que publica formalmente dentro de una suite de gestión de API. A menudo, esas API solo incluyen API expuestas a Internet donde se desea una mayor observabilidad y control de acceso. O en el caso de APIM, pueden ser solo aquellas API que son productizadas o monetizadas por la organización. Axway informó que la empresa promedio utiliza tres ofertas diferentes de gestión de API, y se espera que el número aumente a cinco para algunas organizaciones para 2023. Esta realidad de la arquitectura empresarial y la entrega de API genera puntos ciegos para las organizaciones en lo que respecta a la gestión unificada de API, la visibilidad y la gobernanza.
El amplio espectro de tipos de aplicaciones, computación y servicios dificulta que los equipos de seguridad logren una visibilidad y un control universales. Incluso si una organización pudiera lograr una visibilidad completa de todos sus activos, no tendrá el mismo nivel de visibilidad en todos sus socios y proveedores y en toda la cadena de suministro digital.
Contener la proliferación
Obtener visibilidad de todos sus entornos es fundamental para abordar la proliferación de API. No basta con implementar una pasarela API o un proxy perimetral; no le dará una imagen completa de su tráfico API. Sus sistemas, aplicaciones y API, y los datos con los que interactúan, abarcan muchos entornos. Descubrir todos los activos API requiere que la organización recopile telemetría en múltiples puntos de su arquitectura empresarial.
Para mantenerse al día con la proliferación de API, las organizaciones inevitablemente necesitan buscar nuevas herramientas que:
- se integre con las numerosas pilas tecnológicas y las variedades de computación que se utilizan en todos los entornos
- funcione en conjunto con los proxies y pasarelas de red preexistentes para aplicar el tipo de mitigación más adecuado, en el punto más apropiado de una arquitectura, para una explotación o abuso de API determinado
- sea funcional "listo para usar"
- aprenda continuamente la singularidad de los entornos y la lógica de negocio de una organización
Las plataformas de seguridad de API reducen su riesgo
Las herramientas de seguridad de API dedicadas, y específicamente las plataformas que proporcionan capacidades de seguridad de ciclo de vida completo, ayudan a las organizaciones que se enfrentan al problema de la proliferación de API. El inventario de API de una organización determinada debe incluir todas las API internas (privadas), externas (públicas), de socios y de terceros. El descubrimiento continuo de todas las API que una organización construye, integra o consume permite a los equipos de API y a los equipos de seguridad comprender mejor su riesgo de seguridad de API relativo y priorizar los controles de seguridad de manera más efectiva.
Este estado final solo se puede lograr con herramientas de seguridad que sean de escala de nube en sí mismas y que hagan un uso amplio de la IA/ML (es decir, asistencia de máquina) para analizar toda la telemetría de API, producir señales significativas para los equipos de TI y proteger las API en consecuencia.
Aquí en Salt, estamos ayudando a los clientes a controlar la proliferación de sus API con el descubrimiento automático de API, la clasificación de datos, la detección y prevención de ataques API, y tácticas de "shift-left" que identifican vulnerabilidades de API en preproducción. Si desea ver la plataforma en acción, solicite una demostración personal.
