El desarrollo de aplicaciones avanza con rapidez y la innovación cambia continuamente el aspecto de nuestras interacciones. Debido a las complejidades de los contenedores distribuidos, este énfasis en la velocidad a veces conduce a una resistencia en la gestión de las API y a la aplicación de controles de seguridad e infraestructura. Lamentablemente, dado que las API se consumen cada vez más en el intercambio de datos entre microservicios, se están convirtiendo en una vulnerabilidad potencial que podría exponer datos sensibles. Esto significa que todos los puntos finales de las API deberían tener al menos un grado mínimo de riesgo, configuración y aplicación de políticas estandarizadas; sin embargo, debido a que la automatización de la publicación de las API elimina los elementos tradicionales de interacción y supervisión del usuario, las mismas tendencias que hacen que las API sean más valiosas también las están haciendo más vulnerables.

Las puertas de enlace de API generalmente están diseñadas para administrar la publicación de API en una plataforma o en clústeres de microservicios; la facilidad de uso y la automatización son los principales impulsores de la adopción porque es difícil escalar la interconectividad de API para satisfacer las demandas de tráfico de los clientes a medida que su cartera de aplicação crece mientras permanece independiente de la plataforma. Esto explica por qué las configuraciones incorrectas de la API y las fallas de seguridad han sido la causa de algunas de las violaciones de datos de API de más alto perfil .

Los equipos de DevOps son responsables del aumento de procesos de automatización, cada uno de los cuales requiere diferentes herramientas para cumplir los requisitos de los desarrolladores y las aplicaciones. Estos escenarios crean patrones de tráfico de API e instancias de gestión desconectadas, lo que se complica aún más con soluciones de observabilidad desconectadas. Desgraciadamente, sigue siendo habitual evaluar a los equipos de desarrollo y DevOps según la frecuencia de sus lanzamientos, pero no por la seguridad de los mismos.

El resultado son fallas en la gestión del crecimiento de la API empresarial a gran escala, lo que crea riesgos nuevos e imprevistos y exposición a un uso no autorizado de la API, algunas de las amenazas más comunes según el API Security Top 10 de OWASP .

Las API también encuentran problemas de rendimiento cuando gestionan el tráfico a escala. Un retraso de 50-100 milisegundos en las transacciones puede ser aceptable para el lanzamiento inicial de una aplicación, pero cuando se multiplica entre cientos o miles de microservicios que se amplían para satisfacer la demanda de los clientes, esos retrasos se acumulan y ralentizan toda la cadena de la aplicación. ¿El resultado? Un mal rendimiento y el fracaso de las expectativas de los clientes.

La automatización del acceso a los puntos de conexión de las API, la configuración y la seguridad en toda la cartera de aplicaciones de la empresa, desde el desarrollo inicial hasta el despliegue en producción, permitirá a DevOps abordar el rendimiento y las posibles vulnerabilidades a escala para poder centrarse en otros problemas de la cadena de automatización.

Las aplicações nativas de la nube están cada vez más distribuidas y descentralizadas por diseño y dependen de cientos, si no miles, de puntos finales basados ​​en API, con millones de transacciones como fuente principal de tráfico. Una investigación reciente de F5 Labs muestra que el número de incidentes de seguridad de API crece cada año y que las causas más frecuentes de incidentes de API en los últimos dos años están relacionadas con bajos niveles de madurez de seguridad, a menudo causados por la proliferación de herramientas.

Cuando diferentes equipos de desarrollo trabajan en diferentes partes de las aplicaciones distribuidas a través de múltiples plataformas, se crea una complejidad en la gestión de la API que da lugar a aplicaciones poco seguras y de bajo rendimiento. Los problemas pueden surgir por fallos de despliegue, rendimiento degradado o acceso malintencionado al tráfico sensible, y es difícil remediar, y mucho menos localizar, la causa. La reducción de esta complejidad a escala reduce el riesgo y proporciona un conjunto coherente de políticas de configuración, rendimiento y seguridad optimizadas en torno a sus objetivos empresariales. Proporcionar a los equipos de DevOps un conjunto de herramientas estándar para automatizar los controles adecuados en los procesos de desarrollo y gestión de API permite que sus aplicaciones crezcan junto con su negocio.

Las empresas necesitan mantener y hacer evolucionar sus API tradicionales, al tiempo que desarrollan otras nuevas utilizando arquitecturas de microservicios nativas de la nube. Estas pueden suministrarse con sistemas privados de tipo bare metal, desde la nube o a través de soluciones de tránsito multi-cloud. Las API son difíciles de clasificar, ya que se utilizan para ofrecer una variedad de experiencias de usuario, cada una de las cuales requiere un conjunto diferente de controles de desarrollo, publicación y seguridad. La flexibilidad de las soluciones F5 NGINX puede abordar múltiples casos de uso o patrones arquitectónicos diferentes para satisfacer los requisitos de cualquier equipo de desarrollo.

En su Informe de tendencias del mercado de la nube, Futuriom señala que “las API han sido un elemento crucial de la virtualización de centros de datos y SD-WAN, y serán cada vez más importantes para conectar redes multicloud”.

En todas las soluciones descritas a continuación, F5 NGINX Management Suite se utiliza para funciones de gestión de API, como la publicación de las API , la configuración de la autenticación y la autorización, y el uso de la puerta de enlace de API ofrecida en F5 NGINX Plus para formar la ruta de datos. Los controles de seguridad se abordan en función de los requisitos de seguridad de la plataforma de entrega de datos y API.

1. API para empresas altamente reguladas
   
   Las API comerciales que implican el intercambio de información confidencial o regulada pueden requerir controles de gestión, informes y seguridad para permitir el cumplimiento de regulaciones adicionales o mandatos de la industria. Por ejemplo, las aplicações que entregan información sanitaria protegida o información financiera confidencial deben cumplir con estándares específicos de la industria. La aplicación de políticas, el control de acceso auditable basado en roles, el análisis y la inspección de carga útil a escala se convierten en mecanismos críticos para gestionar y proteger este tipo de API.
   
   La combinación de la tecnología de firewall de aplicação web (WAF) avanzada líder en la industria para interfaces de aplicação con F5 NGINX Plus API Gateway y F5 NGINX App Protect WAF proporciona protección superior de perímetro, API y microservicios para una disponibilidad y un rendimiento de misión crítica.
   
   
2. API distribuidas en múltiples nubes
   
   Las aplicaciones móviles que brindan servicio a usuarios de todo el mundo necesitan backends geográficamente distribuidos para proporcionar respuestas de API de baja latencia. También puede ser necesario distribuir otros servicios de aplicação , trasladando cargas de trabajo de altas transacciones más cerca de los consumidores o de los datos para mejorar el rendimiento. Para optimizar el tiempo de respuesta, necesitará una plataforma distribuida para orquestar la entrega de puntos finales de API desde múltiples ubicaciones para atender a su base de usuarios. 
   
   F5 NGINX Plus ofrece una puerta de enlace API independiente de la plataforma, equilibrio de carga y funciones de seguridad. Implementado con el módulo F5 NGINX Management Suite API Connectivity Manager , proporciona a los equipos de DevOps y AppDev una publicación de API automatizada, segura y de alto rendimiento a escala.
   
   Para brindar conectividad multicloud avanzada para sus entornos distribuidos, las soluciones de red multicloud de F5 Distributed Cloud separan los desafíos de la infraestructura de red orientada a NetOps de la implementación de aplicação . DevOps puede dejar de preocuparse por la superposición de direcciones IP y configuraciones de enrutamiento complejas y, en cambio, centrarse en brindar una infraestructura lista para el desarrollo en cualquier momento. Pruebe los casos de uso de implementación de NGINX y los servicios de nube distribuida de F5 para resolver sus desafíos de múltiples nubes.
   
   
3. Cargas de trabajo de API en Kubernetes
   
   F5 NGINX Ingress Controller es un balanceador de carga, caché, puerta de enlace de API y WAF todo en uno para microservicios en Kubernetes . Combinado con F5 NGINX Service Mesh siempre gratuito, DevOps tiene el control del desarrollo y la implementación de API. El controlador de ingreso NGINX para NGINX Plus se integra completamente con NGINX App Protect en una única configuración fácil de implementar, lo que reduce el costo y la complejidad de las aplicações de nivel de producción. NGINX Service Mesh se utiliza para proporcionar visibilidad de este a oeste y seguridad basada en mTLS para cargas de trabajo.
   
   NGINX Ingress Controller para NGINX Plus se integra con NGINX Service Mesh para lograr un plano de datos unificado con seguridad, funcionalidad y escala de nivel de producción. NGINX Service Mesh, liviano y centrado en la gestión del tráfico de aplicação de capa 7 dentro de clústeres, no es intrusivo, lo que permite que el resto de su pila tecnológica funcione sin complicaciones, como debería ser.

Las soluciones de F5 ofrecen, gestionan y protegen las API y la infraestructura utilizada para alojarlas, independientemente de su plataforma o arquitectura de automatización. F5 proporciona una sólida protección contra bots y exploits de API comunes y avanzados, con integración de DevOps para la publicación y visibilidad del rendimiento de la API. Combinadas, estas soluciones le ayudan a alcanzar su objetivo de portabilidad de las aplicaciones en cualquier lugar donde las despliegue, acercando las cargas de trabajo a sus clientes.

Proporcione a sus equipos de desarrollo y operaciones la agilidad necesaria para asistir a la empresa en la actualidad, ofreciéndoles la libertad de utilizar el entorno adecuado para el trabajo (ya sea alojado en la nube o en las instalaciones), y la versatilidad para asistir a la empresa en el futuro, con una portabilidad de la arquitectura que avanzará con usted.

Obtenga más información con el manual de F5 NGINX Real-Time API