5 façons de lutter contre la prolifération des API (et pourquoi vous devriez vous en soucier)
Il s'agit du premier article d'une série en deux parties sur API Connectivity Manager :
- 5 façons de lutter contre la prolifération des API (et pourquoi vous devriez vous en soucier) – cet article
- Pourquoi l'expérience du développeur d'API est importante
Les API constituent le tissu conjonctif de l’Internet moderne, reliant les données de la périphérie au cloud et aux centres de données sur site. Selon le rapport 2021 de F5 sur l'état de la stratégie des applications , l'utilisation des API est la plus populaire des différentes méthodes utilisées par les organisations pour se moderniser :
- 58 % des organisations ajoutent une couche d'API pour permettre des interfaces utilisateur modernes
- 51 % ajoutent des composants d'application modernes (par exemple, Kubernetes)
- 47 % procèdent à un refactoring (modification du code de l'application lui-même)
- 40 % migrent vers le cloud public (lifting et déplacement) sans modernisation
Dans une économie axée sur les API, les API doivent être fiables à 100 %. Mais à mesure que les entreprises et les applications évoluent, la complexité opérationnelle se multiplie. Les applications cloud natives sont de plus en plus distribuées et décentralisées par conception – composées de dizaines, de centaines, voire de milliers d’API déployées dans des environnements cloud, sur site et en périphérie.
Une étude récente menée par le Bureau du CTO de F5 a identifié la prolifération continue des API comme une menace importante pour les entreprises en cours de transformation numérique. Mais qu'est-ce que cela signifie ?
Qu'est-ce que la prolifération des API ?
La prolifération des API décrit deux défis étroitement liés qui surviennent lorsque les organisations mettent en œuvre la transformation numérique : la croissance exponentielle du nombre d'API et la distribution physique des API sur plusieurs architectures et équipes.
Les quatre principaux facteurs à l’origine de la prolifération des API sont :
- Infrastructure hybride – Aujourd’hui, 81 % des entreprises opèrent sur trois architectures ou plus, notamment des clouds publics, des centres de données sur site et des infrastructures de périphérie.
- Architectures de microservices – L’adoption croissante des architectures de microservices conduit à la prolifération des points de terminaison d’API à mesure que de nouveaux services sont mis en ligne.
- Déploiement continu de logiciels – Les développeurs peuvent produire rapidement des dizaines d’API, ou plusieurs versions d’une seule API, sur une courte période.
- API abandonnées – À mesure que les développeurs passent à l’assistance et au travail sur d’autres projets, ils cessent de gérer et de maintenir les API qu’ils ont créées.
La prolifération des API est une menace importante
De nombreuses entreprises ne reconnaissent pas encore la prolifération des API comme un problème majeur – mais c’est le cas . Les organisations qui comprennent et s’attaquent aux causes profondes de la prolifération des API sont celles qui prospéreront au cours de la prochaine décennie.
La prolifération des API pose des défis opérationnels et de sécurité importants pour les entreprises. À mesure que les points de terminaison d’API prolifèrent dans plusieurs équipes et environnements, la sécurisation et la gouvernance des API deviennent un défi monumental. Pour les entreprises, la prolifération des API entraîne souvent des coûts cachés (baisse de la productivité des développeurs, augmentation des retouches, ralentissement des révisions) qui ne sont pas facilement mesurables avant qu’il ne soit trop tard.
Les principaux défis liés à la prolifération des API sont les suivants :
- Manque de visibilité – Les architectures hybrides rendent extrêmement difficile l’obtention d’une vue unifiée du trafic et des configurations des API
- Aucune source claire de vérité – Les développeurs ont du mal à découvrir les API et la documentation à jour
- Fiabilité réduite – Les erreurs de configuration deviennent plus fréquentes, entraînant des pannes
- Menaces de sécurité élevées – Les points de terminaison d’API non sécurisés sont des cibles faciles pour les attaques
Comment lutter contre la prolifération des API ?
La première étape de la création d’une infrastructure API résiliente consiste à maîtriser la prolifération des API avec une stratégie API holistique qui intègre les meilleures pratiques en matière de propriété persistante des API et d’une API centrale ou d’un catalogue de services. Ensuite, superposez la gouvernance des API pour rationaliser la gestion du cycle de vie des API de manière pratique et évolutive.
Chez NGINX, nous avons créé une solution de plan de gestion pour réduire la complexité de la gestion des API. API Connectivity Manager , qui fait partie de F5 NGINX Management Suite , fournit une interface unique pour connecter, gouverner et sécuriser vos API, quel que soit leur emplacement ou la personne qui les crée.
API Connectivity Manager vous aide à exécuter les cinq tactiques essentielles pour lutter contre la prolifération des API et gérer les API à grande échelle :
- Mettre en œuvre une stratégie de gouvernance des API
- Créer une source unique de vérité pour les API
- Assurer un contrôle de version et une documentation appropriés
- Fournir des mesures et une visibilité
- Appliquer la sécurité des API à grande échelle
Tactique n°1 : Mettre en œuvre une stratégie de gouvernance des API
La gestion et le contrôle centralisés facilitent la découverte, la connexion et la sécurisation des API au sein d'une architecture ou d'un cluster unique. La prolifération des API vous oblige à ajuster votre façon de penser, d’un modèle purement hiérarchique à un modèle distribué et évolutif de manière autonome.
Comment NGINX aide – Avec API Connectivity Manager, vous pouvez mettre en œuvre un modèle de gouvernance flexible qui équilibre les politiques globales avec des contrôles précis afin que les propriétaires d’API puissent gérer les politiques locales. Cela permet d’accélérer la mise sur le marché sans sacrifier la surveillance cohérente de la sécurité et de la conformité.
Les équipes de plateforme et d’infrastructure peuvent garantir la cohérence des API dans toute l’entreprise avec des politiques globales de journalisation, de codes de réponse aux erreurs, de configuration TLS, etc. Les développeurs qui créent et gèrent des API conservent le contrôle des politiques de niveau de service telles que la limitation du débit, l’authentification et l’autorisation.
Tactique n°2 : Créer une source unique de vérité pour la découverte d'API
À mesure que le nombre d’API et la complexité des applications augmentent, il devient très difficile de découvrir et de suivre quelles API sont disponibles et où elles se trouvent. Si les API sont cachées dans l’infrastructure d’un microservice particulier et ne sont pas enregistrées, les équipes en charge d’autres microservices ne peuvent pas trouver et intégrer ces API dans leurs projets.
Comment NGINX vous aide – Avec API Connectivity Manager, vous pouvez créer des catalogues de services et des portails API où les développeurs peuvent découvrir et utiliser vos API. Une bonne expérience de portail de développeur favorise la consommation de vos API en fournissant un emplacement central pour les informations sur les API disponibles et comment les utiliser, ainsi que des outils pour générer des informations d'identification.
Tactique n°3 : Assurer une gestion des versions et une documentation appropriées
Les portails API sont une bonne première étape. Des problèmes surviennent toutefois lorsque les spécifications de l’API changent au cours des cycles de développement. L’implication est que le service distant appelant une API doit également changer. Cette approche peut fonctionner si tous les microservices sont conçus par la même équipe pour la même application, mais pas lorsque les API sont publiées pour être consommées par des tiers.
Dans le même temps, la gestion de la documentation est un casse-tête pour les développeurs. Après une première vague d'activité, les portails API deviennent souvent obsolètes, devenant des villes fantômes d'API non prises en charge et de documentation obsolète, laissant les parties prenantes et les utilisateurs d'API perdus et frustrés.
Comment NGINX aide – Avec API Connectivity Manager, vous pouvez intégrer la publication et la documentation des API dans un flux de travail transparent pour les développeurs d'API. Les propriétaires d'API peuvent simultanément publier des API et générer de la documentation à l'aide de la spécification OpenAPI , ce qui leur fait gagner du temps et garantit que la documentation reste à jour pour tout le monde.
Tactique n°4 : Fournir des mesures et une visibilité sur le trafic API
Comprendre où se trouvent les API et comment elles sont configurées est l’un des défis les plus importants auxquels sont confrontées les entreprises. Sans une vue cohérente du trafic API dans les différents environnements, l’identification des problèmes de performances et des menaces de sécurité est difficile, voire impossible.
Comment NGINX vous aide – Avec API Connectivity Manager, vous pouvez créer une plateforme unique qui donne accès à des mesures importantes qui vous aident à appliquer les meilleures pratiques et à garantir les performances et la fiabilité. Les propriétaires d’infrastructures peuvent surveiller le trafic et les configurations des API, appliquer des formats de journaux standardisés et exporter des données vers leurs solutions de surveillance préférées.
Tactique n°5 : Appliquer la sécurité des API à grande échelle
Plus de 90 % des entreprises ont connu un incident de sécurité API en 2020 . La surface de menace de votre organisation augmente à chaque nouveau point de terminaison d'API mis en ligne. À grande échelle, la sécurité ne peut pas être une fonctionnalité supplémentaire : elle doit être intégrée à l’ensemble du cycle de vie, de la spécification au code jusqu’au déploiement.
Comment NGINX aide – Avec API Connectivity Manager, vous pouvez protéger les API avec deux composants clés pour la sécurité des API : Contrôle d'accès API et protection API. Appliquez le contrôle d'accès aux API en gérant l'authentification et l'autorisation avec des jetons Web JSON (JWT), des clés API ou OAuth2/OpenID Connect. Dans les mois à venir, API Connectivity Manager ajoutera la prise en charge de NGINX App Protect WAF afin que vous puissiez sécuriser vos passerelles API et vous défendre contre les menaces courantes et avancées avec une prise en charge prête à l'emploi du Top 10 de la sécurité des API OWASP , de la validation de schéma, etc.
Accélérez la mise sur le marché avec API Connectivity Manager
En résolvant les défis posés par la prolifération des API, vous pouvez transformer la complexité multi-architecture en un avantage concurrentiel. API Connectivity Manager vous aide à créer un écosystème d'API résilient qui prend en charge la gouvernance à grande échelle avec la vitesse et la flexibilité dont vos développeurs ont besoin.
Dans notre prochain article, nous nous plongerons dans l’expérience du développeur d’API et discuterons de sujets tels que l’intégration CI/CD, les workflows en libre-service et la gestion du cycle de vie des API.
Commencer
Démarrez un essai gratuit de 30 jours de NGINX Management Suite , qui comprend API Connectivity Manager et Instance Manager .
Ressources connexes
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."