Raport F5 Continuous API Sprawl 2021[1] ujawnia, że interfejsy API mają przekroczyć wielkość 1 mld do 2030 r. przy obecnej liczbie 200 mln.[2] Analiza podkreśla korzyści biznesowe i ryzyko związane z szybkim rozprzestrzenianiem się API w obszarach zarządzania i bezpieczeństwa. Już 43% firm wykorzystuje dziś interfejsy API jako źródło przychodów obok tradycyjnych rozwiązań. Jednak niekontrolowany rozrost powoduje ogromne zagrożenie bezpieczeństwa dla zasobów organizacji.
Interfejsy programowania aplikacji pełnią rolę pośrednika umożliwiającego programistom budowanie nowych interakcji pomiędzy aplikacjami. Ich działanie jest związane z gospodarką internetową, od płatności cyfrowych po usługi rozrywki online i inteligentny dom. API umożliwiły aplikacjom dokonanie przewrotu w branży transportowej, hotelarskiej i restauracyjnej poprzez usługi wspólnych przejazdów (Uber, Lyft itp.), wynajmu (Airbnb itp.) oraz dostawcze (DoorDash itp.). Przykłady Twilio (platforma komunikacji w chmurze) i Stripe (przetwarzanie płatności online) zapowiadają dopiero przyszłe możliwości wykorzystania interfejsów API jako narzędzia biznesowego.
Nieuporządkowane interfejsy
Kierunek rozwoju API jest jednak niepokojący – szybka dystrybucja tych interfejsów bez wspólnych standardów i silnego zarządzania. Jest to wynikiem trendów w tworzeniu oprogramowania: rosnącego zastosowania architektury mikrousług, popularności Continuous Development i modernizacji starszych aplikacji. Stąd interfejsy API są często wielowarstwowe, duplikowane, czy niewystarczająco udokumentowane – bez kontroli kolejnych wersji i potrzeb bezpieczeństwa.
Wielość architektur
Raport wskazuje też na złożoność organizacyjną infrastruktury. Ogólna preferencja zespołów programistycznych do pracy w silosach w oparciu o niezależne najlepsze praktyki skłoniła wiele organizacji do przyjęcia podejścia opartego na infrastrukturze hybrydowej. Raport F5 State of Application Strategy 2021 wykazał, że 68% respondentów korzystało z czterech lub pięciu różnych architektur aplikacji, w porównaniu z 41% w 2020 r. Przyczynia się to do dalszego rozproszenia i powielania interfejsów API oraz trudności w zapewnieniu niezbędnego nadzoru. Wszelkiego rodzaju API rozprzestrzeniają się i organizacje coraz częściej osiągają punkt, w którym nie są w stanie skutecznie nimi zarządzać i ich kontrolować. Nazywamy to rozrostem – stanem posiadania zbyt wielu interfejsów API różnych rodzajów, w różnych lokalizacjach, aby sobie z nimi poradzić – powiedział Rajesh Narayanan, Senior Director & Distinguished Technologist w F5.
Przeszkody operacyjne i zagrożenia bezpieczeństwa
Wraz ze wzrostem liczby interfejsów API i złożoności aplikacji organizacjom trudno jest śledzić, gdzie znajdują się interfejsy API, co może mieć wpływ na łączność typu end-to-end. Częste aktualizacje tych interfejsów powodują problemy z wersjonowaniem i dokumentacją.Równie pilne jest zagrożenie bezpieczeństwa. Ponad 90% przedsiębiorstw doświadczyło w zeszłym roku incydentu związanego z bezpieczeństwem API[3]. Interfejsy API są także jednym ze źródeł głównych zagrożeń w obszarze chmury: IBM odkrył, że dwie trzecie incydentów związanych z bezpieczeństwem w chmurze w ciągu ostatniego roku dotyczyło źle skonfigurowanych kluczy API, które umożliwiały niewłaściwy dostęp[4]. Rozrost API bez możliwości odpowiedniego zarządzania, to wiszące nad organizacjami ryzyko naruszenia bezpieczeństwa. Rozwój tych interfejsów w rozproszonej infrastrukturze oznacza, że tajne informacje, dane umożliwiające uprzywilejowany dostęp do systemu są szerzej rozprzestrzeniane i stają się bardziej podatne na zagrożenia. Wystarczy jeden klucz API, aby napastnik mógł uzyskać dostęp do infrastruktury krytycznej — dodał Narayanan.
Konieczna kontrola
Raport podkreśla, że API będą stanowić infrastrukturę krytyczną dla gospodarki cyfrowej. Są główną siłą napędową innowacji i budowania wartości. Jednak ich wzrost wymaga skoordynowanego zarządzania, aby nie dopuścić do problemów systemowych na dużą skalę. Rozrost API jest nieunikniony, dlatego musimy znaleźć praktyczne i skalowalne sposoby, żeby sobie z tym poradzić. Do 2030 r. pojawią się usługi, które zapewnią walidację i rzetelne informacje dotyczące obsługi i ochrony API oferowane jako SaaS. Potrzebne będą także spisy nieistniejących lub nieobsługiwanych interfejsów API, aby skutecznie oczyszczać infrastrukturę. Dziś jest moment dla organizacji na zajęcie się tym obszarem, zanim niekontrolowany wzrost osiągnie skalę, która znacznie utrudni opanowanie sytuacji. Warto poważnie podejść do tworzenia, wykorzystywania i zarządzania API — podsumowuje Narayanan.
[1] Ciągły wzrost API: wyzwania i możliwości w gospodarce opartej na interfejsach API: https://www.f5.com/pdf/reports/f5-office-of-the-cto-report-continuous-api-sprawl.pdf
[2] Analiza raportu wykorzystuje model prognozowania trendu oparty na liczbie programistów oraz ich skłonności do pisania interfejsów API.
[3] Salt Security, The State of API security – Q1 2021
[4] IBM, 2021 IBM Security X-Force Cloud Threat Landscape Report