¿Qué es el inventario de API: descripción general del inventario de API?

Jul 17, 2023

Inicio » Calendario editorial » Seguridad de API » ¿Qué es el inventario de API: descripción general del inventario de API?

El inventario de API es un componente integral de la gobernanza y el cumplimiento de las API y es el proceso de identificar cada API implementada en todos los entornos de la organización, su uso, usuarios, limitaciones y perfil de seguridad. Aprovechando este inventario, se debe crear y actualizar continuamente un catálogo de API completo para obtener visibilidad de la cantidad de API utilizadas en toda la organización y su propósito principal. Esta catalogación le ayuda a gestionar los problemas que surgen de la proliferación incontrolada de API en toda la organización. Este enfoque de un inventario es importante para garantizar un programa de seguridad de API eficaz.

La economía de las API está creciendo y las empresas están presenciando una rápida adopción de las API. Según el informe sobre el estado de las API, la economía de las API es una prioridad absoluta para más del 59 % de las organizaciones. Si a esto le sumamos el hecho de que este año más desarrolladores confiarán en las API que en años anteriores, podremos comprender la importancia de las API en una organización.

Las API vienen en muchas formas y tamaños y se pueden clasificar en varias categorías: web, navegador, estándar, integradas y más. También se pueden clasificar por alcance, incluidos microservicios, de propósito único, agregados y más. Su diversa caracterización y el hecho de que las organizaciones no pueden prescindir de ellos hacen que el inventario sea una necesidad absoluta.

El inventario de API es fundamental desde la perspectiva de la seguridad y la gestión. En primer lugar, no se puede proteger lo que no se puede ver, por lo que una lista completa de API es el primer paso más crítico en una iniciativa de seguridad de API. Un inventario en tiempo de ejecución también impulsa el conocimiento de las API para los respectivos propietarios de negocios, lo cual es esencial porque la mayoría de las organizaciones no tienen una visibilidad clara de quién es el propietario de las API. No son conscientes de la cantidad de API que aprovecha su organización y, por lo tanto, no pueden implementar una estrategia integral de seguridad de API. No puede proteger las API si no sabe cuántas existen en diversos entornos.

Las organizaciones están luchando contra una expansión de API resultante de la prevalencia de una arquitectura híbrida, que incluye centros de datos locales, nubes públicas, nubes privadas y computación de borde. Otra razón para la proliferación rápida y no administrada de API en una organización es el uso cada vez mayor de infraestructura de microservicios, la necesidad de lanzamiento e implementación acelerados de software y API abandonadas.

Esto resulta en desafíos operativos y de seguridad. La proliferación de puntos finales API no solo se limita a múltiples entornos sino también a los diversos equipos en estos entornos. También aumenta los costos de desarrollo; Imagine un escenario en el que se han creado API para un proceso específico, pero la imposibilidad de catalogar la API significa que se pierde su existencia y los desarrolladores vuelven a crear la misma API, lo que da como resultado la proliferación de API en la sombra.

La imposibilidad de desarrollar y actualizar su inventario significa una falta extrema de visibilidad del tráfico y las configuraciones de API. Además, existe una excelente posibilidad de desarrollar un sistema de TI respaldado con API poco confiables debido a una mala configuración de la API. La falta de gestión de inventario significa que hay muchas API no documentadas en todo el entorno de TI, y muchas de ellas permanecen sin protección, lo que las convierte en blancos fáciles para que los atacantes cometan fraude, abusen de la lógica empresarial e interrumpan el negocio.

Un inventario extremadamente detallado y bien taxonómico es fundamental para garantizar la seguridad, la gobernanza y el cumplimiento de las API, pero establecer una hoja de ruta clara para el inventario de API sigue siendo un desafío. Calcular una API manualmente se convierte en un desafío enorme, ya que muchas API se modifican o actualizan continuamente. Las organizaciones que dependen de escáneres o herramientas de inventario pasivo están atrapadas en un enfoque heredado de gestión de inventario, lo que da como resultado una imagen inexacta de las API desde el diseño hasta la producción y la implementación. La visibilidad granular de las API los elude, lo que se convierte en una gran grieta en su estrategia de seguridad de API.

Las API han sido propiedad de los desarrolladores y las han implementado durante mucho tiempo, a menudo solo para uso interno y con poca o ninguna supervisión de seguridad. A medida que las API se han vuelto más integrales para el negocio y ahora se implementan externamente, el acto de rastrearlas y protegerlas continúa rezagado en muchas organizaciones, como lo demuestran los recientes incidentes de seguridad relacionados con las API.

El enfoque correcto para comprender la cantidad de API distribuidas en una organización debe centrarse en tres pilares críticos: creación, implementación y administración. Además, el inventario se considera completo solo si la lista de API incluye API internas y externas. Por lo tanto, la idea es hacer de la gestión de activos API un componente integral de la iniciativa de seguridad API.

API Sentinel realiza un inventario de tiempo de ejecución continuo para ayudar a las organizaciones a obtener una visibilidad completa de su huella de API, independientemente de su número. La información proporcionada incluye patrones de tráfico de API, origen y destino geográficos y el ISP de la organización que ayuda al equipo de TI a identificar posibles actividades maliciosas. API Sentinel cubre API externas e internas, y su arquitectura modular y opciones de implementación permiten a las organizaciones seguir el ritmo de la expansión de la implementación y cobertura de API. El objetivo principal de esta herramienta es ofrecer un retorno de la inversión del inventario inmediato y un enfoque centrado en los resultados respaldado por inteligencia significativa que mide la extensión y los riesgos de la API y sugiere medidas efectivas que pueden eliminar todos los riesgos potenciales de seguridad.

La gestión ideal del inventario de API puede ayudar a las organizaciones a aprovechar el poder de las API en su totalidad y ayudarle a administrar las API de una manera centralizada que sea más efectiva y esté mejor configurada para la seguridad. Aún más importante es que le ayudará a crear un ecosistema API que desbloquea la agilidad en entornos heterogéneos.

Las organizaciones que han adoptado una metodología de desarrollo de API primero están utilizando la solución Cequence Unified API Protection para ver su superficie de ataque de API con API Spyder; luego cree un inventario de API en tiempo de ejecución y comience a monitorear el cumplimiento con API Sentinel. Además, API Spartan proporciona a su equipo detección y prevención de ataques automatizados basados ​​en ML contra sus API y aplicaciones web.

La publicación ¿Qué es el inventario de API: una descripción general del inventario de API? apareció por primera vez en Cequence Security.

*** Este es un blog sindicado de Security Bloggers Network de Cequence Security escrito por Tony Bailey. Lea la publicación original en: https://www.cequence.ai/blog/api-security/what-is-api-inventory/