Glossaire : Termes et définitions de la cybersécurité

Qu'est-ce que la connectivité API ?

La connectivité API fait référence à l'utilisation d'API modulaires et réutilisables pour lier des données et des applications dans des environnements cloud natifs. Contrairement à la gestion des API , qui se concentre sur la gestion des cycles de vie des API individuelles, la connectivité des API englobe des environnements de microservices faiblement couplés dans lesquels de nombreuses API communiquent entre elles et permettent de sécuriser et de gouverner les API à grande échelle dans ces architectures.

Alors que les API étaient autrefois considérées uniquement comme un outil pour les développeurs, elles sont désormais des actifs commerciaux stratégiques, générant des revenus et soutenant l’agilité de l’entreprise. À mesure que les organisations innovent et adoptent des API, de nouveaux défis apparaissent en matière de visibilité, de sécurité et de gouvernance. Les entreprises ont besoin de nouveaux types de solutions de connectivité API qui complètent les architectures traditionnelles et de microservices, s’alignent sur les pratiques DevOps et prennent en charge les API hautes performances.

Types d'API et expérience de connectivité API

Par le passé, les solutions de gestion du cycle de vie complet des API étaient principalement conçues pour gérer le trafic nord-sud (du client vers le backend) pour les API internes ou externes. Désormais, avec des infrastructures cloud natives générant davantage de trafic est-ouest (entre les microservices au sein de l’infrastructure d’application d’une organisation), les types d’API ont également augmenté.

Actuellement, la plupart des entreprises travaillent avec quatre types d’API :

  • API internes – Exposées uniquement aux autres applications (et à leurs développeurs) au sein d’une entreprise, et non aux utilisateurs externes. Les API internes aident à déverrouiller les données et à favoriser la collaboration entre les unités fonctionnelles au sein d'une entreprise.
  • API externes – Exposées aux utilisateurs extérieurs à votre entreprise. Les API externes offrent les moyens de créer des partenariats avec des développeurs tiers et l'ensemble de votre écosystème commercial et peuvent être des sources de revenus.
  • API partenaires – Exposées aux partenaires commerciaux. Ces API ne sont pas accessibles au public : elles sont accessibles à certains développeurs qui satisfont aux exigences d’authentification (AuthN) et d’autorisation (AuthZ) des deux entreprises.
  • API tierces – Exposées par des tiers et situées sur leurs serveurs. Ces API ont tendance à fournir un service largement nécessaire (comme des cartes) et sont expressément développées pour être utilisées par d'autres entreprises, généralement moyennant des frais.

D’autres éléments clés de la connectivité API sont une passerelle API (un proxy inverse ou un contrôleur d’entrée) et un portail de développement API. Une passerelle API accepte les demandes d'API des clients, les dirige vers les services appropriés et combine les résultats dans une expérience synchrone pour l'utilisateur. Le portail des développeurs est un emplacement en ligne où vous publiez des ressources qui facilitent l'intégration rapide de vos consommateurs d'API, telles qu'un catalogue de vos API externes, une documentation complète et des exemples de code. Il permet également aux développeurs tiers d’enregistrer leurs applications et d’obtenir des informations d’identification pour accéder aux API.

Le défi du multi-cloud

Aujourd’hui, les API et les microservices sont déployés dans plusieurs environnements : cloud public, cloud privé, sur site et en périphérie. Et comme les microservices deviennent un outil clé pour les entreprises à fort trafic pour faire évoluer leurs applications, le volume du trafic API interne a également considérablement augmenté.

La prolifération des points de terminaison API dans des environnements multicloud complexes nécessite une nouvelle approche de la gestion, de la gouvernance et de la sécurité des API. Ces environnements distribués nécessitent des approches automatisées et peu interventionnistes qui permettent aux développeurs d'agir et donnent aux équipes Platform Ops la possibilité de définir des garde-fous en matière de sécurité et de ressources dans différents secteurs d'activité.

Assurer la fiabilité et la sécurité des architectures multicloud représente un défi pour les équipes Platform Ops. Ils ont besoin d’une visibilité globale sur le trafic des applications et des API, ainsi que de la capacité d’appliquer des politiques de sécurité et de conformité cohérentes dans différents environnements. Les outils natifs de la plateforme fonctionnent tous différemment et offrent différents degrés de visibilité et de contrôle. En fin de compte, les équipes Platform Ops ont besoin d’un modèle différent pour créer et appliquer la gouvernance aux équipes et environnements distribués.

Deux modèles – centralisé et décentralisé – sont courants pour la gouvernance des API. Mais dans les stratégies API modernes, et en particulier dans les modèles API-first, un nouveau concept de « gouvernance adaptative » donne plus de pouvoir aux développeurs d'API tout en offrant aux équipes Platform Ops un contrôle fiable et sécurisé.

Pour en savoir plus, lisez La gouvernance adaptative offre aux développeurs d’API l’autonomie dont ils ont besoin sur notre blog.

L'importance des outils API-First

Les environnements cloud natifs sont des systèmes faiblement couplés qui sont souvent construits à l'aide de conteneurs, de maillages de services et de microservices. Ces ressources communiquent entre elles via une API et sont généralement gérées elles-mêmes via des API déclaratives. Ces techniques permettent de créer des systèmes résilients, gérables et observables.

La connectivité API met l’accent sur l’utilisation de technologies cloud natives et, en particulier, sur une approche API-first pour la gestion de l’infrastructure et du cycle de vie des API. Ceci est particulièrement important pour automatiser le travail à grande échelle en utilisant des pratiques d’intégration continue/livraison continue (CI/CD). CI/CD vous aide à gérer les API et les applications tout au long de leur cycle de vie (écriture, livraison et mise à jour) grâce à l'automatisation. Cela permet également de « déplacer la sécurité vers la gauche » en intégrant et en intégrant les politiques de sécurité dès le début, puis en les appliquant aux futures API, permettant ainsi à la sécurité de faire partie de l'ensemble du processus de développement, jusqu'à la production.

Pour en savoir plus, lisez « Shifting Security Tools Left for Safer Apps » sur notre blog.

Quelle est la différence entre la connectivité API et une stratégie de connectivité pilotée par API ?

La connectivité pilotée par API est une approche architecturale spécifique de la transformation numérique et de la mise en œuvre de la stratégie API globale d’une organisation. Il utilise une approche à plusieurs niveaux pour classer les API d'une organisation par fonction :

  • Les API système sont utilisées pour récupérer des données brutes à partir d'un système d'enregistrement et les exposer à une API en amont de manière fiable
  • Les API de processus orchestrent plusieurs API système en aval pour agréger les données et leur appliquer la logique métier
  • Les API d'expérience permettent des interactions avec les utilisateurs et peuvent être réutilisées par des applications mobiles et Web

La connectivité API est une approche complète de gouvernance et d’exploitation des API dans des environnements cloud natifs, quel que soit le modèle architectural que vous utilisez pour les classer.

Comment NGINX peut-il vous aider ?

API Connectivity Manager , qui fait partie de F5 NGINX Management Suite , a été conçu avec l'expérience du développeur d'API comme cœur. Avec API Connectivity Manager, les équipes d'infrastructure peuvent déployer des passerelles API et des portails de développeurs hautes performances. Les développeurs peuvent rapidement publier et gérer des API et de la documentation ou découvrir et intégrer des API dans des applications.

diagramme de connectivité de l'API

API Connectivity Manager est un élément clé de la solution NGINX Secure API Connectivity, qui offre les avantages suivants :

  • Évolutivité – Offrez des performances, une fiabilité et une sécurité sans compromis avec NGINX Plus comme passerelle API
  • Observabilité – Surveillez le trafic API entre les équipes et les environnements pour identifier les erreurs de configuration et les menaces de sécurité
  • Gouvernance – Assurer une surveillance cohérente tout en permettant aux développeurs d'API de gérer leurs API avec des contrôles précis
  • Sécurité – Protégez les API contre les menaces courantes et avancées avec une protection prête à l'emploi contre le Top 10 de la sécurité des API OWASP

Démarrez un essai gratuit de 30 jours de NGINX Management Suite , qui comprend API Connectivity Manager et Instance Manager .