Registrati

Che cosa è un'API-ombra?

Le API-ombra sono delle API non gestite, che introducono seri rischi per le organizzazioni che le utilizzano.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Dare una definizione di "API-ombra"
  • Capire perché le API-ombra sono pericolose
  • Mettere a confronto le API-ombra e le API-zombie

Argomenti correlati

Cos'è un'API?

Come funzionano le API?

endpoint API

Cos'è la sicurezza delle API?

Top 10 di sicurezza API OWASP

Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Che cosa è un'API-ombra?

Un'API "ombra" è qualsiasi interfaccia di programmazione dell'applicazione (API) che non è stata gestita o messa in sicurezza dall'organizzazione che la utilizza. Spesso, le API ombra vengono introdotte da sviluppatori e altri utenti all'interno di un'organizzazione, sia durante il processo di sviluppo di un'applicazione, sia per eseguire altre funzioni di business.

Le API-ombra non sono necessariamente API che vengono utilizzate per scopi dannosi. Tuttavia, poiché non sono sotto il controllo dei team IT e di sicurezza di un'organizzazione, è impossibile metterle in sicurezza da nuove vulnerabilità e attacchi.

Perché le API-ombra sono pericolose?

Sebbene le API-ombra non siano di per sé dannose, possono introdurre un livello di rischio notevole. I team IT e di sicurezza di un'organizzazione sono responsabili dell'applicazione e del miglioramento degli standard di sicurezza delle API, ma possono proteggere solo le API e gli endpoint che possono vedere. Se esiste una dipendenza di cui questi team non sono a conoscenza, non possono monitorare la potenziale esposizione dei dati, garantire la conformità o bloccare eventuali attacchi.

Ecco alcuni dei rischi più comuni introdotti dalle API-ombra:

  • Esposizione dei dati: le API-ombra potrebbero avere accesso a dati sensibili. Se vengono compromesse o attaccate, potrebbe verificarsi l'esposizione o il furto di dati.
  • Spostamento laterale: le API-ombra possono fornire agli aggressori dei punti per accedere a sistemi e account sensibili. Una volta infiltratisi in un'organizzazione, possono rubare informazioni riservate o utilizzare questo accesso per sferrare ulteriori attacchi.
  • Vulnerabilità non corrette: un'organizzazione non può correggere le nuove vulnerabilità scoperte nelle API, se già non le sorveglia e le gestisce. Anche se le API-ombra sono già protette contro gli attacchi e i rischi API di base (come quelli elencati nella OWASP API Security Top 10), dei nuovi exploit potrebbero creare dei punti di ingresso per eventuali malintenzionati.
  • Mancata conformità: molte organizzazioni sono soggette a leggi sulla privacy dei dati (ad esempio, il GDPR o il CCPA). Le API-ombra possono consentire a sviluppatori o ad altri utenti di gestire i dati in modi non conformi a queste normative, e questo può sfociare nella comminazione di multe o in altre conseguenze gravi.

Che cos'è il rilevamento delle API?

Il rilevamento delle API è il processo di catalogazione di tutte le API interne ed esterne utilizzate da un'organizzazione. Le API soddisfano una vasta gamma di finalità: dal potenziamento del processo di sviluppo delle applicazioni fino alla connessione di microservizi e altre funzioni esterne. Non è raro che le organizzazioni facciano affidamento su decine, se non centinaia (o migliaia) di queste funzioni.

Grazie al rilevamento delle API, le aziende possono non solo ottimizzare lo sviluppo delle proprie applicazioni, ma anche identificare potenziali API-ombra che non sono state adeguatamente inventariate o messe in sicurezza. Per questo motivo, questa procedura è un primo passo fondamentale per migliorare e implementare le pratiche di sicurezza delle API.

API-ombra e API-zombie a confronto

Una API-ombra è una API non gestita che viene utilizzata attivamente. Al contrario, una API-zombie è una API che è stata deprecata o abbandonata. A differenza delle API-ombra le API-zombie possono già state identificate e gestite da un'organizzazione, ma non sono utilizzate attivamente.

Entrambe le tipologie di API rappresentano un serio rischio per le organizzazioni che interagiscono con esse, poiché di solito non sono protette e possono essere compromesse o utilizzate per effettuare degli attacchi.

In che modo Cloudflare protegge dall'IT-ombra?

Cloudflare API Shield include una funzionalità di rilevamento API che rileva, monitora e protegge automaticamente tutti gli endpoint API. Le richieste in arrivo vengono convalidate in base a uno schema OpenAPI, che viene utilizzato per bloccare le richieste non conformi e contribuisce a implementare un modello di sicurezza positivo. Scopri di più sul funzionamento di Cloudflare API discovery.

INTRODUZIONE

Informazioni sulla sicurezza delle applicazioni Web

Minacce comuni

Risorse VPN

Glossario della sicurezza

Navigazione nel Centro di apprendimento

© 2026 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaAttendibilità e sicurezzaMarchio registrato