影子 API 是不受管理的 API,会给使用这些 API 的组织带来严重风险。
阅读本文后,您将能够:
复制文章链接
"影子"API 是指任何未经使用它的组织管理或保护的应用程序编程接口 (API)。一般而言,影子 API 是由组织内的开发人员和其他用户在应用程序开发过程中或为运行其他业务功能而引入的。
影子 API 不一定是用于恶意目的的 API。然而,由于它们不受组织 IT 和安全团队控制,因此不可能确保它们免受新的漏洞和攻击。
虽然影子API 本身并无恶意,但是它们也会带来相当大的风险。组织的 IT 和安全团队负责执行和改进 API 安全标准,但他们只能保护他们能看到的 API 和端点。如果存在这些团队不知道的依赖项,他们就无法跟踪潜在的数据风险、确保合规性或阻止攻击。
影子 API 引入的最常见风险包括以下几个方面:
API 发现是指编目在组织内部使用的所有内部和第三方 API 的过程。由于 API 可以实现十分广泛的目的——从增强应用程序开发到连接微服务和其他外部功能不等——组织依赖数十个甚至数百个(或数千个)API 的情况并不少见。
通过 API 发现功能,企业不但可以简化应用程序开发,而且能够发现尚未适当清查或保护的潜在影子 API。因此,API 发现是改进和实施 API 安全做法的至关重要的第一步。
影子 API 是正被积极使用的非托管 API。相比之下,僵尸 API 是已被弃用或放弃的 API。与影子 API 不同,僵尸 API 可能已经被组织识别和管理,但并未被积极使用。
影子 API 和僵尸 API 都会给与之交互的组织带来严重风险,因为它们通常没有安全保障,可能会被泄露或用于实施攻击。
Cloudflare API Gateway 包含 API 发现功能,可自动发现、监控和保护所有 API 端点。它会根据 OpenAPI 模式对传入的请求进行验证,而该模式用于阻止不符合要求的请求,并帮助实施积极的安全模式。了解有关 Cloudflare API 发现工作原理的更多信息。