- 作者 | TPIsoftware
從 API 盤點到管理 避免不受控的野生 API
隨著軟體開發的快速發展,API 已成為不同系統間進行溝通的橋梁,得以促進多個應用程式間的功能整合,讓開發人員不必深入理解應用程式內部運作機制,就可有效的進行串接、整合各系統,優化了軟體開發的效率。
然而,根據 F5 CTO Office 的研究報告,未來數年所產生的 API 數量將呈指數級成長。API 的數量過多,帶來 API 氾濫 (API Sprawl),企業若缺乏有效的 API 管理措施,野生 API 造成的問題頻頻浮現、防不勝防。
野生 API 是 OWASP 都認定 API 安全風險
野生 API 是指尚未經過系統化列管的 API,這些 API 資訊通常只紀錄於文件、管理人員的記憶甚至可能已經被遺忘。這些野生 API 包含了使用中以及不再被使用的 API,且依然對外開放,從而可持續被外部訪問,因缺乏適當的監管,外部攻擊者可能利用野生 API 訪問敏感資料、發起攻擊,從而對系統安全造成意料之外的嚴重威脅。
這也讓 OWASP 將「API 資產管理不當」納入十大安全風險之一,相比於傳統的網路應用,API 往往公開更多的端點,使得製作、更新紀錄文件變得極為重要,若使用過時文件,將導致查找、修補漏洞過程變得艱難。透過妥善管理主機和部署的 API 版本庫存,才能減少過時的 API 版本和暴露的調試端點等問題。
那又該如何解決野生 API 問題?
API 盤點幫助企業抓出野生 API 顧問服務才能加速納管
野生 API 可能導致的安全隱患,提醒著企業應不斷地加強 API 治理。企業當前的要務便是釐清系統內有多少 API ,即需要進行全面性的 API 盤點,最有效的方式,便是透過 API 管理顧問的全面梳理、抽絲剝繭發現遺漏的 API,同時也分析潛在風險及制定 API 管理流程,最後得以讓所有 API 統一納入 API 管理平台,進行持續監控和追蹤。
又 API 管理平台還可以做到什麼?
高效 API 管理 平台化策略加速治理與合規
APIM 平台有完善的身分驗證授權、流量防護及各式監控告警等機制,為系統 API 加上一層防護罩,當發生安全事件時,多元告警機制能夠讓 IT 人員快速響應,這些控管機制、防護措施都能讓 API 其免於攻擊、有效地提升 API 的安全防護,並促進偵錯、除錯的過程,從而加強 API 的治理,以進一步符合法規或標準。
綜觀市場上的 API 管理平台,digiRunner 相較於 Apigee、Axway API Management 、IBM API Connect 和 AWS API Gateway,digiRunner 作為一個雲原生 APIM 平台,更可協助企業專注於快速整合和盤點現有 API、完善 API 策略。
對於 API 盤點上提供了相應的功能需求,可直接由 API Swagger 文件中匯入現有 API,並透過 API 群組、自定義標籤等方式來進行分類管理,更可彈性授權各系統管理者將各系統 API 註冊上來。當 API 被註冊到 digiRuuner 上,則可進入系統化管理與持續性盤點的作業循環,管理者可完整掌握所有 API 資訊,並快速進行搜尋與查閱。
完整的 API 儀錶板與各類報表,可協助 API 管理者快速掌握 API 運行與使用狀況,例如熱門 API、冷門 API 或是速度較慢 API 等,作為 API 資源增加或是 API 淘汰的決策依據。API 盤點將不再是透過文件查找甚至是記憶回想,而是全面地系統化了。
如何有效的 API 管理成為了企業面臨的一大挑戰。若您想以便捷的方式進行 API 盤點、管理,並擁有嚴謹、即時的監控告警等,幫助企業實現 API 資源的有效管理和保護,歡迎聯繫昕力資訊,我們將免費為您提供專業諮詢服務。