5 maneras de combatir la proliferación de API (y por qué debería importarte)
Esta es la primera publicación de una serie de dos partes sobre API Connectivity Manager:
- 5 formas de combatir la proliferación de API (y por qué debería importarte) – esta publicación
- Why the API Developer Experience Matters (Por qué es importante la experiencia del desarrollador de API)
Las API son el tejido conectivo de la Internet moderna y vinculan los datos desde el borde hasta la nube y los centros de datos locales. Según el Informe sobre el estado de la estrategia de aplicação de 2021 de F5, aprovechar las API es el método más popular de los diversos que las organizaciones están utilizando para modernizarse:
- El 58% de las organizaciones están agregando una capa de API para habilitar interfaces de usuario modernas
- El 51% está agregando componentes de aplicação modernas (por ejemplo, Kubernetes)
- El 47% está refactorizando (modificando el código de la aplicação en sí)
- El 40 % se está moviendo a la nube pública (lifting and shifting) sin modernizarse
En una economía impulsada por API, las API deben ser 100% confiables. Pero a medida que las empresas y las aplicações escalan, la complejidad operativa se multiplica. Las aplicações nativas de la nube están cada vez más distribuidas y descentralizadas por diseño: están compuestas por docenas, cientos o incluso miles de API implementadas en entornos de nube, locales y de borde.
Una investigación reciente de la Oficina del CTO de F5 identificó la continua proliferación de API como una amenaza importante para las empresas que atraviesan una transformación digital. ¿Pero qué significa eso?
¿Qué es la expansión de las API?
La proliferación de API describe dos desafíos entrelazados que surgen a medida que las organizaciones implementan la transformación digital: el crecimiento exponencial en la cantidad de API y la distribución física de las API en múltiples arquitecturas y equipos.
Los cuatro impulsores clave de la proliferación de API son:
- Infraestructura híbrida : hoy en día, el 81 % de las empresas operan en tres o más arquitecturas , incluidas nubes públicas, centros de datos locales e infraestructura de borde.
- Arquitecturas de microservicios : la creciente adopción de arquitecturas de microservicios conduce a la proliferación de puntos finales de API a medida que se incorporan nuevos servicios.
- Implementación de software continua : los desarrolladores pueden producir rápidamente docenas de API, o muchas versiones de una sola API, en un corto período de tiempo.
- API abandonadas : a medida que los desarrolladores pasan a brindar soporte y trabajar en otros proyectos, dejan de administrar y mantener las API que crearon.
La proliferación de API es una amenaza importante
Muchas empresas aún no reconocen que la proliferación de API es un problema importante, pero lo es . Las organizaciones que comprendan y aborden las causas fundamentales de la proliferación de API serán las que prosperarán en la próxima década.
La proliferación de API presenta importantes desafíos operativos y de seguridad para las empresas. A medida que los puntos finales de API proliferan en múltiples equipos y entornos, proteger y gobernar las API se convierte en un desafío monumental. Para las empresas, la proliferación de API a menudo genera costos ocultos (menor productividad de los desarrolladores, mayor repetición del trabajo, revisiones más lentas) que no se pueden medir fácilmente hasta que es demasiado tarde.
Los principales desafíos de la proliferación de API incluyen:
- Falta de visibilidad : las arquitecturas híbridas hacen que sea extremadamente difícil obtener una visión unificada del tráfico y las configuraciones de la API.
- No existe una fuente clara de la verdad : los desarrolladores tienen dificultades para descubrir API y documentación actualizada
- Disminución de la confiabilidad : las configuraciones incorrectas se vuelven más comunes, lo que provoca interrupciones
- Amenazas de seguridad elevadas : los puntos finales de API no seguros son blancos fáciles para los ataques.
¿Cómo se puede combatir la proliferación de API?
El primer paso para construir una infraestructura de API resiliente es controlar la proliferación de API con una estrategia de API holística que incorpore las mejores prácticas en torno a la propiedad persistente de API y un catálogo de API o servicios central. A continuación, superponga la gobernanza de API para optimizar la gestión del ciclo de vida de las API de una manera práctica y escalable.
En NGINX, hemos creado una solución de plano de gestión para reducir la complejidad de la gestión de API. API Connectivity Manager , parte de F5 NGINX Management Suite , proporciona una única interfaz para conectar, gobernar y proteger sus API, independientemente de dónde se encuentren o quién las esté construyendo.
API Connectivity Manager le ayuda a ejecutar las cinco tácticas fundamentales para combatir la proliferación de API y gestionar las API a escala:
- Implantar una estrategia de gobernanza de API
- Crear una única «fuente de la verdad» para las API
- Garantizar el versionado y la documentación adecuados
- Proporcionar métricas y visibilidad
- Aplicar la seguridad de las API a escala
Táctica #1: Implantar una estrategia de gobernanza de API
La administración y el control centralizados facilitan el descubrimiento, la conexión y la protección de las API dentro de una única arquitectura o clúster. La proliferación de API te obliga a ajustar tu manera de pensar: desde un modelo puramente jerárquico a un modelo distribuido y de escalamiento autónomo.
Cómo ayuda NGINX : con API Connectivity Manager puede implementar un modelo de gobernanza flexible que equilibra las políticas globales con controles detallados para que los propietarios de API puedan administrar las políticas locales. Esto ayuda a acelerar el tiempo de comercialización sin sacrificar la supervisión constante de la seguridad y el cumplimiento.
Los equipos de plataforma e infraestructura pueden garantizar la coherencia de la API en toda la empresa con políticas globales de registro, códigos de respuesta de error, configuración de TLS y más. Los desarrolladores que crean y administran API conservan el control de las políticas de nivel de servicio, como limitación de velocidad, autenticación y autorización.
Táctica #2: Cree una única fuente de verdad para el descubrimiento de API
A medida que crece el número de API y la complejidad de las aplicaciones, se vuelve muy difícil descubrir y rastrear qué API están disponibles y dónde se encuentran. Si las API están ocultas dentro de la infraestructura de un microservicio en particular y no están registradas, los equipos a cargo de otros microservicios no pueden encontrarlas e integrarlas en sus proyectos.
Cómo ayuda NGINX : con API Connectivity Manager, puede crear catálogos de servicios y portales de API donde los desarrolladores pueden descubrir y utilizar sus API. Una buena experiencia en el portal para desarrolladores promueve el consumo de sus API al proporcionar una ubicación central para obtener información sobre qué API están disponibles y cómo usarlas, además de herramientas para generar credenciales.
Táctica #3: Garantizar el versionado y la documentación adecuados
Los portales API son un buen primer paso. Sin embargo, surgen problemas cuando las especificaciones de la API cambian durante los ciclos de desarrollo. La implicación es que el servicio remoto que llama a una API también necesita cambiar. Este enfoque podría funcionar si todos los microservicios están siendo diseñados por el mismo equipo para la misma aplicação, pero no cuando las API se publican para que las consuman terceros.
Al mismo tiempo, mantener la documentación es un dolor de cabeza para los desarrolladores. Después de un estallido inicial de actividad, los portales de API a menudo se vuelven obsoletos y se convierten en ciudades fantasma de API sin soporte y documentación obsoleta, lo que deja a las partes interesadas y a los usuarios de API perdidos y frustrados.
Cómo ayuda NGINX : con API Connectivity Manager, puede integrar la publicación y la documentación de API en un flujo de trabajo continuo para desarrolladores de API. Los propietarios de API pueden publicar API y generar documentación simultáneamente utilizando la Especificación OpenAPI , lo que les ahorra tiempo y garantiza que la documentación se mantenga actualizada para todos.
Táctica #4: Proporcionar métricas y visibilidad del tráfico de API
Comprender dónde se encuentran las API y cómo se configuran es uno de los desafíos más importantes que enfrentan las empresas. Sin una visión consistente del tráfico de API en todos los entornos, identificar problemas de rendimiento y amenazas a la seguridad es difícil, si no imposible.
Cómo ayuda NGINX : con API Connectivity Manager, puede crear una plataforma única que brinde acceso a métricas importantes que lo ayuden a implementar las mejores prácticas y garantizar el rendimiento y la confiabilidad. Los propietarios de infraestructura pueden monitorear el tráfico y las configuraciones de la API, aplicar formatos de registro estandarizados y exportar datos a sus soluciones de monitoreo preferidas.
Táctica #5: Aplicar la seguridad de las API a escala
Más del 90% de las empresas experimentaron un incidente de seguridad de API en 2020 . La superficie de amenazas de su organización crece con cada nuevo punto final de API que se conecta. A gran escala, la seguridad no puede ser una característica adicional: debe integrarse en todo el ciclo de vida, desde la especificación hasta el código y la implementación.
Cómo ayuda NGINX : con API Connectivity Manager, puede proteger las API con dos componentes clave para la seguridad de las API: Control de acceso API y protección API. Implemente el control de acceso a la API administrando la autenticación y la autorización con tokens web JSON (JWT), claves API u OAuth2/OpenID Connect. En los próximos meses, API Connectivity Manager agregará soporte para NGINX App Protect WAF para que pueda proteger sus puertas de enlace de API y defenderse contra amenazas comunes y avanzadas con soporte listo para usar para OWASP API Security Top 10 , validación de esquemas y más.
Acelere el tiempo de comercialización con API Connectivity Manager
Al resolver los desafíos que presenta la proliferación de API, puede convertir la complejidad de múltiples arquitecturas en una ventaja competitiva. API Connectivity Manager lo ayuda a construir un ecosistema de API resistente que admita la gobernanza a escala con la velocidad y flexibilidad que sus desarrolladores necesitan.
En nuestra próxima publicación, profundizaremos en la experiencia del desarrollador de API y analizaremos temas como la integración de CI/CD, los flujos de trabajo de autoservicio y la gestión del ciclo de vida de las API.
Introducción
Comience una prueba gratuita de 30 días de NGINX Management Suite , que incluye API Connectivity Manager y Instance Manager .
Recursos relacionados
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.