À medida que as organizações continuam migrando para arquiteturas baseadas em microsserviços, implementando estratégias de dados em tempo real e mudando para abordagens que priorizam APIs, gerenciar e governar APIs geralmente se torna cada vez mais complexo. A dispersão de APIs e as APIs de sombra adicionam complexidade e risco. Quanto mais APIs você tiver, mais APIs precisará proteger, gerenciar e governar. Não demora muito para chegar à terra da "expansão de APIs", onde há centenas, ou até milhares, de novas APIs que não são devidamente contabilizadas.
Embora tudo isso pareça simples e previsível, é algo com que muitas organizações ainda lutam. Essas lutas geralmente assumem a forma de "APIs sombra" — APIs legadas não descobertas e não gerenciadas que geralmente ainda estão em execução na produção. Essas APIs apresentam sérios riscos para qualquer negócio.
Aumento da vulnerabilidade a violações de segurança de API
A falta de visibilidade em um cenário de API em rápido crescimento cria um ambiente propício para vulnerabilidades de segurança. Shadow APIs, muitas vezes não monitoradas ou mal mantidas, tornam-se alvos principais para invasores que exploram lógica de autenticação imprópria ou padrões de criptografia fracos. A pesquisa da Kong destaca esse risco, com o número de ataques anuais previsto para crescer 548% até 2030, para um total de 42.000 ataques de API somente nos EUA.
Vazamentos de dados e exposição de informações confidenciais
Como essas APIs geralmente não são rastreadas ou monitoradas, elas podem inadvertidamente expor dados confidenciais, como informações de identificação pessoal (PII) do cliente, registros financeiros ou informações comerciais proprietárias. Por exemplo, uma API legada desenvolvida para um serviço extinto ainda pode ter acesso a bancos de dados confidenciais, expondo dados involuntariamente a qualquer um que saiba como chamá-los. O mais preocupante é que esses vazamentos de dados geralmente ocorrem silenciosamente, sem que ninguém na organização perceba até que seja tarde demais.
Não conformidade com a norma regulatória
A incapacidade de contabilizar totalmente todas as APIs significa que as organizações lutam para cumprir com as regulamentações do setor. APIs que processam dados confidenciais podem ficar fora das verificações de conformidade obrigatórias, como auditorias GDPR ou HIPAA, simplesmente porque não são catalogadas como parte do inventário oficial de APIs da organização. Essa falta de supervisão pode resultar em multas regulatórias caras, sem mencionar o dano potencial à confiança do cliente.
Melhorando a governança de API com catálogos de serviços
Assim como um catálogo de biblioteca ajuda os clientes a encontrar materiais, um catálogo de serviços atua como um sistema centralizado de registro para os serviços e APIs de uma organização. O catálogo de serviços é o mecanismo de descoberta e visibilidade para todas as suas APIs e serviços. Em outras palavras, é a ruína da expansão de APIs e APIs sombra.
Um dos recursos mais poderosos de um catálogo de serviços é seu mecanismo de descoberta, que atualiza dinamicamente o catálogo conforme novos serviços são implantados e os inativos são desativados. O mecanismo de descoberta permite que o catálogo de serviços retenha sua precisão e confiabilidade como uma fonte de verdade com intervenção manual zero.
É importante observar, no entanto, que nem todos os catálogos de serviços são criados iguais. Certos catálogos cujos mecanismos de descoberta não se integram profundamente com infraestrutura crítica (como gateways de API e malhas de serviço) normalmente precisam ser preenchidos e mantidos manualmente. Esses processos manuais são altamente propensos a erros e resultam em catálogos desatualizados quase imediatamente.
Em outras palavras, se seu catálogo de serviços não puder ser preenchido automaticamente, ele prejudica todo o propósito de adotar tal solução. Você também pode tentar gerenciar, medir e governar cada API e serviço manualmente em uma planilha do Excel. Isso é insustentável para uma organização com uma pegada de serviço massiva.
Um catálogo de serviços automatizado que é construído para integrar-se profundamente com vários aplicativos de infraestrutura oferece visibilidade completa no tráfego de API norte-sul e leste-oeste de uma organização. Isso permite que o catálogo exiba análises sobre o serviço (como contagem de solicitações, taxa de erro e latência) que refletem seu uso dinâmico no mundo real, em vez de dados estáticos e desatualizados.
Assuma o controle do seu cenário de API
As organizações não podem mais se dar ao luxo de deixar dados críticos de clientes, PII e credenciais de autorização apenas "flutuando" por aí, sem serem vistos, na produção. Esperança não pode ser sua estratégia de segurança de API.
Reconhecendo a necessidade de um catálogo de serviços automatizado e bem integrado, criamos o Konnect Service Catalog, agora disponível em beta público. Experimente agora mesmo fazendo login no Kong Konnect, registrando-se para um teste gratuito de 30 dias ou conferindo esta demonstração ao vivo que mostra sua UI/UX.
