O que é inventário de API: uma visão geral do inventário de API?

Jul 17, 2023

Início » Calendário Editorial » Segurança de API » O que é inventário de API: uma visão geral do inventário de API?

O inventário de API é um componente integral da governança e conformidade de API e é o processo de identificação de cada API implantada em todos os ambientes da organização, seu uso, usuários, limitações e perfil de segurança. Aproveitando esse inventário, um catálogo abrangente de APIs deve ser criado e atualizado continuamente para obter visibilidade do número de APIs usadas em toda a organização e sua finalidade principal. Essa catalogação ajuda você a lidar com os problemas emergentes da proliferação descontrolada de APIs em toda a organização. Esta abordagem para um inventário é importante para garantir um programa eficaz de segurança de API

A economia das APIs está crescendo e as empresas estão testemunhando uma rápida adoção de APIs. De acordo com o relatório State of APIs, a economia das APIs é uma prioridade máxima para mais de 59% das organizações. Junte isso ao fato de que mais desenvolvedores contarão com APIs este ano do que nos anos anteriores, e você poderá entender a importância das APIs em uma organização.

APIs vêm em vários formatos e tamanhos e podem ser classificadas em várias categorias: web, navegador, padrão, incorporado e muito mais. Eles também podem ser classificados por escopo, incluindo microsserviços, propósito único, agregados e muito mais. A sua caracterização diversificada e o facto de as organizações não poderem prescindir deles tornam o inventário uma necessidade absoluta.

O inventário de API é fundamental do ponto de vista de segurança e gerenciamento. Em primeiro lugar, você não pode proteger o que não pode ver, tornando uma lista completa de APIs o primeiro passo mais crítico em uma iniciativa de segurança de API. Um inventário em tempo de execução também promove o conhecimento da API para os respectivos proprietários de negócios, o que é essencial porque a maioria das organizações não tem uma visibilidade clara de quem é o proprietário das APIs. Eles não têm conhecimento do número de APIs que sua organização utiliza e, portanto, não podem implantar uma estratégia abrangente de segurança de API. Você não pode proteger APIs se não souber quantas existem em diversos ambientes.

As organizações estão lutando contra uma expansão de APIs resultante da prevalência de uma arquitetura híbrida, incluindo instalações locais, data centers, nuvens públicas, nuvens privadas e computação de ponta. Outra razão para a proliferação rápida e descontrolada de APIs em uma organização é o uso crescente da infraestrutura de microsserviços, a necessidade de liberação e implantação aceleradas de software e o abandono de APIs.

Isso resulta em desafios operacionais e de segurança. A proliferação de endpoints de API não se limita apenas a vários ambientes, mas também às diversas equipes nesses ambientes. Também aumenta os custos de desenvolvimento; imagine um cenário em que APIs foram criadas para um processo específico, mas a incapacidade de catalogar a API significa que sua existência foi perdida e os desenvolvedores criam a mesma API novamente, resultando na proliferação de APIs ocultas.

A incapacidade de desenvolver e atualizar seu inventário significa uma extrema falta de visibilidade das configurações e do tráfego da API. Além disso, há uma excelente chance de desenvolver um sistema de TI apoiado por APIs não confiáveis ​​devido à configuração incorreta da API. A falta de gerenciamento de inventário significa muitas APIs não documentadas em todo o ambiente de TI, onde muitas permanecem inseguras, tornando-as alvos fáceis para invasores cometerem fraudes, abusos da lógica de negócios e interromperem os negócios.

Um inventário extremamente detalhado e bem taxonomizado é fundamental para garantir a segurança, a governança e a conformidade da API, mas estabelecer um roteiro claro para o inventário de API continua sendo um desafio. Contar uma API manualmente torna-se um grande desafio, pois muitas APIs são continuamente modificadas ou atualizadas. As organizações que dependem de ferramentas ou scanners de inventário passivos ficam presas a uma abordagem legada de gerenciamento de inventário, resultando em uma imagem imprecisa das APIs desde o design até a produção e implantação. A visibilidade granular das APIs os evita, o que se torna uma grande brecha na armadura da estratégia de segurança de APIs.