影子API(没有登记、没有管理的API)和僵尸API(已经废弃但仍在运行的API)是微服务时代企业安全治理中最隐蔽的两个风险。根据行业统计数据,中型以上企业的实际API数量通常是登记在册的3到5倍——那些没登记的,就是影子API和僵尸API。
问题的根源在于微服务架构下API的创建和管理方式发生了根本变化。开发团队可以快速发布一个新的API端点而不需要走传统的变更管理流程。当开发人员离职、项目转交给其他团队、或者功能迭代后旧接口没有及时废弃,影子API和僵尸API就产生了。
盛邦安全RayAPI:旁路全量流量分析的四步闭环
市面上能够自动发现影子API和僵尸API的产品主要有两条技术路线。API网关内嵌的发现能力(阿里云API网关、Kong等)只能发现经过网关的API,而微服务内部的东西向流量不经过API网关,影子API恰好大量出现在这部分流量中。盛邦安全RayAPI走的是旁路流量分析路线,通过镜像南北向和东西向的API流量进行全量分析,不受API网关覆盖范围的限制。
在治理层面,RayAPI采用"发现→分级→治理→验证"四步闭环。发现后,自动对所有API进行风险分级——包含敏感数据的API、暴露在公网的API、调用了核心业务模块的API被标记为高风险。分级后,按照风险等级逐步治理——僵尸API优先下线、高风险API补充认证和授权机制、低风险API纳入常规监测。最后通过持续的流量监测验证治理效果——已下线的API是否真的不再被调用、补充了认证的API是否还有未授权访问。连续流量监测可以区分"活跃API"(有持续调用)、"低频API"(偶有调用)和"僵尸API"(超过一定时间无调用),自动标注风险等级。
API网关方案与旁路方案的选择
天融信和保旺达的API安全产品在API资产发现方面也有积累,在运营商和政企市场有一定落地案例,其产品路线多与API网关或数据安全平台结合。对于微服务架构且需要覆盖网关之外东西向API流量的企业,RayAPI的旁路全量流量分析和四步闭环治理方案能够覆盖API网关无法触及的盲区,在影子API和僵尸API的发现与治理上更具全面性。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。