Sua IA está em conformidade? Registre-se Hoje

Indústria

O Problema da Expansão Descontrolada de APIs e os Fatores Chave que Contribuem para Ela

February 17, 2022

Michael Isbitski
Technical Evangelist

O ecossistema de APIs é global e está em rápida expansão. Em seu Relatório sobre o Estado das APIs de 2021, a Postman relatou que sua base de usuários abrangia 234 países e, coletivamente, realizou 855 milhões de requisições de API. Mais da metade dos entrevistados da pesquisa da Postman também indicou que implementa novas APIs em produção uma vez por dia, uma vez por semana ou uma vez por mês. Da mesma forma, a Axway relatou que empresas com foco em API estão construindo APIs em horas ou dias, em vez de semanas ou meses, permitindo-lhes entregar mais de 40 projetos digitais em um ano. Essas estatísticas refletem um ritmo de entrega rápido e um cenário de APIs em constante mudança que, inevitavelmente, resulta em mais APIs e em uma superfície de ataque de API em transformação.  

A proliferação significativa de APIs transformou-se em uma grande dispersão de APIs, o que aumenta os desafios operacionais e de segurança para as organizações. Vários fatores contribuem para a dispersão de APIs, incluindo:

  • Adoção de padrões de design nativos da nuvem e arquiteturas de microsserviços
  • Uso de infraestrutura de nuvem habilitada para API
  • Suporte para populações de usuários consumidores e funcionários cada vez mais móveis, bem como identidades de máquina
  • Consumo de serviços entregues via SaaS e aplicativos móveis
  • Integrações de parceiros e fornecedores, comumente referidas como cadeias de suprimentos digitais

As disparidades de protocolo de API também contribuem para a dispersão de APIs, uma vez que múltiplas APIs podem precisar ser construídas ou integradas para suportar diversos clientes e tipos de serviço. REST ainda domina grande parte do cenário de APIs, mas GraphQL também está ganhando adoção, assim como o gRPC dentro de arquiteturas de microsserviços.

Como chegamos até aqui?

É praticamente impossível para uma organização satisfazer todos os elementos de uma transação de cliente ou funcionário de ponta a ponta. Quase toda entidade, independentemente da indústria, trabalha com outros fornecedores e parceiros para facilitar funcionalidades ou trocar dados. Desde sua ampla adoção no início dos anos 2000, as APIs são o principal mecanismo para fornecer funcionalidade e servir dados. A dispersão de APIs resultante é um indicador da eficácia das APIs para a entrega de serviços.

A dispersão de APIs introduz desafios operacionais e de segurança significativos para as organizações. Preocupações urgentes incluem o risco de abuso da lógica de negócios, exposição de dados e impactos na privacidade. Com a dispersão de APIs, também há uma alta probabilidade de que uma determinada organização compreenda apenas uma fração de seu consumo total de APIs. Esses desafios não podem ser abordados usando abordagens tradicionais como gateways de API ou firewalls de aplicativos web (WAFs). De fato, a maioria dos problemas de segurança de API apresentados no OWASP API Security Top 10 não são diretamente solucionáveis com essas tecnologias.

O desafio do gerenciamento de ativos de API

Muitas organizações estão adotando a infraestrutura e os serviços em nuvem de alguma forma, e a computação em nuvem tornou-se cada vez mais abstrata. As organizações também ainda hospedam muitos sistemas e aplicações em data centers locais. Além disso, muitas organizações adotam outros "tipos de nuvem" além da infraestrutura como serviço, incluindo plataformas de contêiner gerenciado ou Kubernetes, plataformas de aplicação low-code e plataformas serverless ou de função como serviço. Algumas organizações também consomem frequentemente ofertas de software como serviço para apoiar seus negócios. O próprio Kubernetes é uma infraestrutura declarativa, interagida via API. E a maioria das aplicações ou serviços sendo construídos hoje são habilitados para API ou API-first.

O inventário de APIs de uma organização é também mais do que as APIs que ela intermedia com gateways de API ou as APIs que ela publica formalmente dentro de um pacote de gerenciamento de API. Frequentemente, essas APIs incluem apenas APIs expostas à Internet onde se deseja maior observabilidade e controle de acesso. Ou, no caso de APIM, podem ser apenas as APIs que são transformadas em produto ou monetizadas pela organização. A Axway relatou que a empresa média utiliza três ofertas diferentes de gerenciamento de API, com o número esperado para crescer para cinco para algumas organizações até 2023. Essa realidade da arquitetura empresarial e da entrega de APIs resulta em pontos cegos para as organizações no que diz respeito ao gerenciamento unificado de APIs, visibilidade e governança.

O amplo espectro de tipos de aplicações, computação e serviços torna difícil para as equipes de segurança alcançar visibilidade e controle universais. Mesmo que uma organização pudesse alcançar visibilidade total sobre todos os seus ativos, ela não terá o mesmo nível de visibilidade em todos os seus parceiros e fornecedores e em toda a cadeia de suprimentos digital.

Contendo a proliferação

Obter visibilidade em todos os seus ambientes é fundamental para combater a proliferação de APIs. Não basta implantar um gateway de API ou um proxy de perímetro — isso não lhe dará a imagem completa do seu tráfego de API. Seus sistemas, aplicações e APIs, e os dados com os quais interagem, abrangem muitos ambientes. A descoberta de todos os ativos de API exige que a organização colete telemetria em múltiplos pontos de sua arquitetura empresarial.

Para acompanhar a proliferação de APIs, as organizações precisam, inevitavelmente, buscar novas ferramentas que:

  • se integrem com as inúmeras pilhas de tecnologia e variedades de computação que são usadas em todos os ambientes
  • funcionem em conjunto com proxies e gateways de rede preexistentes para aplicar o tipo de mitigação mais apropriado, no ponto mais adequado de uma arquitetura, para uma determinada exploração ou abuso de API
  • sejam funcionais "prontas para usar"
  • aprendam continuamente a singularidade dos ambientes e da lógica de negócios de uma organização

Plataformas de Segurança de API reduzem seu risco

Ferramentas dedicadas de segurança de API, e especificamente plataformas que fornecem recursos de segurança de ciclo de vida completo, ajudam as organizações que enfrentam o problema da proliferação de APIs. O inventário de APIs de uma determinada organização deve incluir todas as APIs internas (privadas), externas (públicas), de parceiros e de terceiros. A descoberta contínua de todas as APIs que uma organização constrói, integra ou consome permite que as equipes de API e as equipes de segurança compreendam melhor seu risco relativo de segurança de API e priorizem os controles de segurança de forma mais eficaz.  

Esse estado final só pode ser alcançado com ferramentas de segurança que sejam elas próprias em escala de nuvem e que façam amplo uso de IA/ML (ou seja, assistência de máquina) para analisar toda a telemetria de API, produzir sinais significativos para as equipes de TI e proteger as APIs de acordo.

Aqui na Salt, estamos ajudando os clientes a controlar a proliferação de suas APIs com descoberta automática de API, classificação de dados, detecção e prevenção de ataques de API, e táticas de "shift-left" que identificam vulnerabilidades de API em pré-produção. Se você gostaria de ver a plataforma em ação, solicite uma demonstração pessoal.

Blog da Salt Security

Assine a Newsletter da Salt para receber os recursos e posts de blog mais recentes.

Nossas últimas publicações