Le développement des applications évolue rapidement et l’innovation modifie continuellement le visage de nos interactions. En raison de la complexité des conteneurs distribués, l’accent mis sur la vitesse conduit parfois à une résistance à la gestion des API et à l’application des contrôles de sécurité et d’infrastructure. Malheureusement, étant donné que les API sont de plus en plus utilisées par les échanges de données entre microservices, elles deviennent une vulnérabilité potentielle qui pourrait exposer des données sensibles. Cela signifie que tous les points de terminaison d'API doivent avoir au moins un degré minimum de risque, de configuration et d'application des politiques standardisés. Cependant, étant donné que l'automatisation de la publication d'API supprime les éléments traditionnels d'interaction et de surveillance des utilisateurs, les mêmes tendances qui rendent les API plus précieuses les rendent également plus vulnérables.

Les passerelles API sont généralement conçues pour gérer la publication d'API sur une plateforme ou sur des clusters de microservices ; la facilité d'utilisation et l'automatisation sont les principaux moteurs de l'adoption, car il est difficile de faire évoluer l'interconnectivité des API pour répondre aux demandes de trafic des clients à mesure que votre portefeuille d'applications se développe tout en restant indépendant de la plateforme. Cela explique pourquoi les erreurs de configuration des API et les failles de sécurité ont été la cause de certaines des violations de données des API les plus médiatisées .

DevOps est responsable d'un nombre croissant de pipelines d'automatisation, chacun nécessitant des outils différents pour répondre aux exigences des développeurs et des applications. Ces scénarios créent des modèles de trafic API et des instances de gestion déconnectés, encore compliqués par des solutions d'observabilité déconnectées.  Malheureusement, il est encore courant que les équipes de développement et DevOps soient évaluées sur leur fréquence de publication, mais pas sur leur sécurité de publication.

Il en résulte des échecs dans la gestion de la croissance des API d'entreprise à grande échelle, créant des risques nouveaux et imprévus ainsi qu'une exposition à l'utilisation non autorisée des API, certaines des menaces les plus courantes selon le Top 10 de la sécurité des API de l'OWASP .

Les API rencontrent également des problèmes de performances lors de la gestion du trafic à grande échelle. Un délai de transaction de 50 à 100 millisecondes peut être acceptable pour le déploiement initial d’une application, mais lorsqu’il est multiplié par des centaines ou des milliers de microservices évolutifs pour répondre à la demande des clients, ces délais s’additionnent et ralentissent toute la chaîne d’application. Le résultat ? Faibles performances et attentes des clients déçues.

L'automatisation de l'accès, de la configuration et de la sécurité des points de terminaison des API dans l'ensemble du portefeuille d'applications de l'entreprise, du développement initial au déploiement en production, permettra à DevOps de gérer les performances et les vulnérabilités potentielles à grande échelle afin qu'ils puissent se concentrer sur d'autres problèmes de pipeline d'automatisation. 

Les applications cloud natives sont de plus en plus distribuées et décentralisées par conception, s'appuyant sur des centaines, voire des milliers, de points de terminaison basés sur des API, avec des millions de transactions comme principale source de trafic. Une étude récente de F5 Labs montre que le nombre d’incidents de sécurité des API augmente chaque année et que les causes les plus fréquentes d’incidents d’API au cours des deux dernières années sont liées à de faibles niveaux de maturité de sécurité, souvent causés par la prolifération des outils.

Lorsque différentes équipes de développement travaillent sur différentes parties d’applications distribuées sur plusieurs plates-formes, cela crée une complexité de gestion des API qui se traduit par des applications peu sécurisées et peu performantes. Des problèmes peuvent survenir suite à des échecs de déploiement, à une dégradation des performances ou à un accès malveillant au trafic sensible, et il est difficile d’en remédier, et encore moins d’en identifier la cause. La réduction de cette complexité à grande échelle réduit les risques et fournit un ensemble cohérent de politiques de configuration, de performances et de sécurité optimisées en fonction des objectifs de votre entreprise. Fournir à DevOps un ensemble standard d'outils pour automatiser les contrôles appropriés dans les processus de développement et de gestion des API permet à vos applications de se développer parallèlement à votre entreprise.

Les entreprises doivent maintenir et faire évoluer leurs API traditionnelles, tout en développant simultanément de nouvelles API à l’aide d’architectures de microservices cloud natives. Ces services peuvent être fournis soit via des systèmes privés bare metal, soit depuis le cloud, soit via des solutions de transit multicloud. Les API sont difficiles à catégoriser car elles sont utilisées pour offrir une variété d’expériences utilisateur, chacune nécessitant potentiellement un ensemble différent de contrôles de développement, de publication et de sécurité. La flexibilité des solutions F5 NGINX peut répondre à plusieurs cas d'utilisation ou modèles d'architecture différents pour répondre aux exigences de toute équipe de développement.

Dans son rapport sur les tendances du marché du cloud, Futuriom indique que « les API ont été un élément crucial de la virtualisation des centres de données et du SD-WAN, et elles deviendront de plus en plus importantes pour connecter les réseaux multi-cloud ».

Dans toutes les solutions décrites ci-dessous, F5 NGINX Management Suite est utilisé pour les fonctions de gestion des API telles que la publication des API , la configuration de l'authentification et de l'autorisation et l'utilisation de la passerelle API proposée dans F5 NGINX Plus pour former le chemin de données. Les contrôles de sécurité sont abordés en fonction des exigences de sécurité de la plateforme de diffusion de données et d'API.

1. API pour les entreprises hautement réglementées
   
   Les API commerciales qui impliquent l’échange d’informations sensibles ou réglementées peuvent nécessiter des contrôles de gestion, de reporting et de sécurité pour permettre la conformité à des réglementations supplémentaires ou à des mandats sectoriels. Par exemple, les applications fournissant des informations de santé protégées ou des informations financières sensibles doivent répondre à des normes sectorielles spécifiques. L’application des politiques, le contrôle d’accès basé sur les rôles vérifiables, l’analyse et l’inspection de la charge utile à grande échelle deviennent des mécanismes essentiels pour la gestion et la protection de ce type d’API.
   
   La combinaison de la technologie de pare-feu d'application Web (WAF) avancée de pointe pour les interfaces d'application avec F5 NGINX Plus API Gateway et F5 NGINX App Protect WAF offre une protection supérieure du périmètre, de l'API et des microservices pour une disponibilité et des performances critiques pour la mission.
   
   
2. API distribuées multi-cloud
   
   Les applications mobiles qui servent les utilisateurs du monde entier ont besoin de backends géo-distribués pour fournir des réponses API à faible latence. D’autres services d’application peuvent également nécessiter d’être distribués, rapprochant les charges de travail de transaction élevées des consommateurs ou des données pour améliorer les performances. Pour optimiser le temps de réponse, vous aurez besoin d'une plateforme distribuée pour orchestrer la livraison des points de terminaison d'API à partir de plusieurs emplacements afin de servir votre base d'utilisateurs. 
   
   F5 NGINX Plus offre une passerelle API indépendante de la plate-forme, un équilibrage de charge et des fonctionnalités de sécurité. Déployé avec le module F5 NGINX Management Suite API Connectivity Manager , il fournit aux équipes DevOps et AppDev une publication d'API performante, automatisée et sécurisée à grande échelle.
   
   Pour fournir une connectivité multicloud avancée pour vos environnements distribués, les solutions de réseau multicloud F5 Distributed Cloud séparent les défis d'infrastructure réseau ciblés NetOps du déploiement d'applications. DevOps peut cesser de s'inquiéter du chevauchement des adresses IP et des configurations de routage complexes, et se concentrer plutôt sur la fourniture d'une infrastructure prête pour le développement à tout moment. Testez les services cloud distribués de F5 et les cas d'utilisation de déploiement NGINX pour résoudre vos défis multicloud.
   
   
3. Charges de travail API dans Kubernetes
   
   F5 NGINX Ingress Controller est un équilibreur de charge tout-en-un, un cache, une passerelle API et un WAF pour les microservices dans Kubernetes . Associé au service Mesh F5 NGINX toujours gratuit, DevOps contrôle le développement et le déploiement des API. NGINX Ingress Controller pour NGINX Plus s'intègre entièrement à NGINX App Protect dans une configuration unique et facile à déployer, réduisant ainsi le coût et la complexité des applications de production. NGINX Service Mesh est utilisé pour fournir une visibilité est-ouest et une sécurité basée sur mTLS pour les charges de travail.
   
   NGINX Ingress Controller pour NGINX Plus s'intègre à NGINX Service Mesh pour un plan de données unifié avec une sécurité, des fonctionnalités et une évolutivité de niveau production. Léger et axé sur la gestion du trafic des applications de couche 7 au sein des clusters, NGINX Service Mesh est non intrusif, permettant au reste de votre pile technologique de fonctionner sans complications, comme il se doit.

Les solutions de F5 fournissent, gèrent et sécurisent les API et l’infrastructure utilisée pour les héberger, quelle que soit votre plateforme ou votre architecture d’automatisation. F5 offre une protection renforcée contre les robots et les exploits d'API courants et avancés, avec une intégration DevOps pour la publication et une visibilité sur les performances des API. Combinées, ces solutions vous aident à atteindre votre objectif de portabilité des applications partout où vous les déployez, rapprochant ainsi les charges de travail de vos clients.

Offrez à vos équipes de développement et d'exploitation l'agilité nécessaire pour soutenir l'entreprise aujourd'hui en leur offrant la liberté d'utiliser l'environnement adapté à la tâche, qu'il soit hébergé dans le cloud ou sur site, et la polyvalence nécessaire pour soutenir l'entreprise à l'avenir, avec une portabilité d'architecture qui évolue lorsque vous évoluez.

Apprenez-en plus avec le manuel de l'API en temps réel F5 NGINX