API の拡散を防ぐ 5 つの方法 (そしてなぜ気にする必要があるのか)

これは、API Connectivity Manager に関する 2 部構成のシリーズの最初の投稿です。

• API の拡散を防ぐ 5 つの方法 (そしてなぜ気にする必要があるのか) – この投稿
• API 開発者エクスペリエンスが重要な理由

API は現代のインターネットの結合組織であり、エッジからのデータをクラウドやオンプレミスのデータセンターにリンクします。 F5 の2021 年アプリケーション戦略の現状レポートによると、組織が近代化に使用しているさまざまな方法の中で、API を活用することが最も人気があります。

• 58%の組織が最新のユーザーインターフェースを実現するためにAPIレイヤーを追加している
• 51% が最新のアプリケーション コンポーネント (Kubernetes など) を追加しています。
• 47% がリファクタリング（アプリケーションコード自体の変更）を行っています
• 40%がモダナイズせずにパブリッククラウドに移行（リフト＆シフト）している

API 主導の経済では、API は 100% 信頼できるものでなければなりません。 しかし、ビジネスやアプリケーションの規模が大きくなるにつれて、運用の複雑さも増大します。 クラウド ネイティブ アプリケーションは、設計上ますます分散化および非中央集権化されており、クラウド、オンプレミス、エッジ環境全体に展開された数十、数百、さらには数千の API で構成されています。

F5 の CTO オフィスによる最近の調査では、継続的な API の拡散がデジタル変革を進めている企業にとって重大な脅威であることが判明しました。 しかし、それはどういう意味でしょうか?

API スプロールとは?

API スプロールとは、組織がデジタル変革を実施する際に生じる、API 数の急激な増加と、複数のアーキテクチャおよびチームにわたる API の物理的な分散という 2 つの絡み合った課題を指します。

API の拡散を促進する 4 つの主な要因は次のとおりです。

• ハイブリッド インフラストラクチャ– 現在、企業の 81% が、パブリック クラウド、オンプレミス データ センター、エッジ インフラストラクチャを含む 3 つ以上のアーキテクチャで運用されています。
• マイクロサービス アーキテクチャ- マイクロサービス アーキテクチャの採用が拡大するにつれ、新しいサービスがオンラインになるにつれて API エンドポイントが増加します。
• 継続的なソフトウェアの展開- 開発者は短期間で数十の API や、単一の API の多数のバージョンを迅速に作成できます。
• 放棄された API – 開発者が他のプロジェクトのサポートや作業に移行すると、作成した API の管理と保守が停止します。

APIの拡散は重大な脅威

多くの企業はまだ API の拡散が重大な問題であると認識していませんが、それは事実です。 API の拡散の根本的な原因を理解し、それに対処する組織こそが、今後 10 年間で繁栄する組織となるでしょう。

API の拡散により、企業にとって重大な運用上およびセキュリティ上の課題が生じます。 API エンドポイントが複数のチームや環境に広がるにつれて、API の保護と管理は大きな課題になります。 企業にとって、API の無秩序な拡大は、開発者の生産性の低下、やり直しの増加、レビューの遅延など、手遅れになるまで簡単に測定できない隠れたコストにつながることがよくあります。

API の拡散による主な課題は次のとおりです。

• 可視性の欠如– ハイブリッドアーキテクチャでは、APIトラフィックと構成を統一的に把握することが非常に困難です。
• 明確な真実の情報源がない– 開発者はAPIや最新のドキュメントを見つけるのに苦労している
• 信頼性の低下– 誤った設定が頻繁に発生し、停止につながる
• セキュリティ脅威の増大– 保護されていないAPIエンドポイントは攻撃の標的になりやすい

API の拡散にどう対処するか?

回復力のある API インフラストラクチャを構築するための最初のステップは、永続的な API 所有権と中央 API またはサービス カタログに関するベスト プラクティスを組み込んだ総合的な API 戦略を使用して、API の拡散に対処することです。 次に、API ガバナンスを重ねて、実用的かつスケーラブルな方法で API ライフサイクル管理を合理化します。

NGINX では、API 管理の複雑さを軽減するための管理プレーン ソリューションを構築しました。 API 接続マネージャー、一部 F5 NGINX 管理スイートは、API の場所や構築者に関係なく、API を接続、管理、保護するための単一のインターフェースを提供します。

API Connectivity Manager は、API の拡散を防ぎ、大規模な API を管理するために重要な 5 つの戦術を実行するのに役立ちます。

• APIガバナンス戦略を実装する
• APIの唯一の真実のソースを作成する
• 適切なバージョン管理とドキュメント化を確保する
• 指標と可視性を提供する
• 大規模にAPIセキュリティを適用する

戦術その1: APIガバナンス戦略を実装する

一元的な管理と制御により、単一のアーキテクチャまたはクラスター内で API の検出、接続、保護が容易になります。 API の拡散により、純粋な階層型モデルから分散型で自律的にスケーリングするモデルへと、考え方を調整する必要が生じます。

NGINX がどのように役立つか– API Connectivity Manager を使用すると、グローバル ポリシーときめ細かい制御のバランスをとる柔軟なガバナンス モデルを実装できるため、API 所有者はローカル ポリシーを管理できます。 これにより、セキュリティとコンプライアンスの一貫した監視を犠牲にすることなく、市場投入までの時間を短縮できます。

プラットフォーム チームとインフラストラクチャ チームは、ログ記録、エラー応答コード、TLS 構成などのグローバル ポリシーを使用して、企業全体で API の一貫性を確保できます。 API を構築および管理する開発者は、レート制限、認証、承認などのサービス レベル ポリシーの制御を維持します。

戦術その2: API 検出のための唯一の真実のソースを作成する

API の数とアプリの複雑さが増すにつれて、どの API が利用可能で、どこに配置されているかを検出して追跡することが非常に難しくなります。 API が特定のマイクロサービスのインフラストラクチャ内に隠されていて登録されていない場合、他のマイクロサービスを担当するチームはそれらの API を見つけてプロジェクトに統合することができません。

NGINX がどのように役立つか– API Connectivity Manager を使用すると、開発者が API を検出して使用できるサービス カタログと API ポータルを作成できます。 優れた開発者ポータル エクスペリエンスは、利用可能な API とその使用方法に関する情報と、資格情報を生成するツールを一元的に提供することで、API の使用を促進します。

戦術その3: 適切なバージョン管理とドキュメントの確保

API ポータルは良い第一歩です。 ただし、開発サイクル中に API 仕様が変更されると問題が発生します。 つまり、API を呼び出すリモート サービスも変更する必要があるということです。 このアプローチは、すべてのマイクロサービスが同じアプリケーション用に同じチームによって設計されている場合には機能する可能性がありますが、API がサードパーティによる使用のために公開されている場合には機能しません。

同時に、ドキュメントの維持は開発者にとって頭痛の種です。 初期の活動が活発になった後、API ポータルは古くなり、サポートされていない API や古いドキュメントのゴーストタウンになることが多く、関係者や API ユーザーは困惑してイライラすることになります。

NGINX がどのように役立つか– API Connectivity Manager を使用すると、API の公開とドキュメントを API 開発者向けのシームレスなワークフローに統合できます。 API 所有者は、 OpenAPI 仕様を使用して API を公開すると同時にドキュメントを生成することができるため、時間を節約し、すべてのユーザーにとってドキュメントが最新の状態に保たれます。

戦術その4: APIトラフィックのメトリクスと可視性を提供する

API がどこにあり、どのように構成されているかを理解することは、企業が直面する最も重要な課題の 1 つです。 環境全体にわたる API トラフィックの一貫したビューがなければ、パフォーマンスの問題やセキュリティの脅威を特定することは困難であり、不可能でもあります。

NGINX がどのように役立つか– API Connectivity Manager を使用すると、ベスト プラクティスを実施し、パフォーマンスと信頼性を確保するのに役立つ重要なメトリックへのアクセスを提供する単一のプラットフォームを作成できます。 インフラストラクチャの所有者は、API トラフィックと構成を監視し、標準化されたログ形式を適用し、データを好みの監視ソリューションにエクスポートできます。

戦術＃5： 大規模なAPIセキュリティの適用

2020 年には 90% 以上の企業が API セキュリティ インシデントを経験しました。 新しい API エンドポイントがオンラインになるたびに、組織の脅威対象領域は拡大します。 大規模な場合、セキュリティはアドオン機能にはならず、仕様からコード、展開までライフサイクル全体に組み込む必要があります。

NGINX がどのように役立つか– API Connectivity Manager を使用すると、API セキュリティのための 2 つの主要コンポーネントを使用して API を保護できます。 API アクセス制御と API 保護。 JSON Web Token (JWT)、API キー、または OAuth2/OpenID Connect を使用して認証と承認を管理することで、API アクセス制御を適用します。 今後数か月以内に、API Connectivity Manager にNGINX App Protect WAFのサポートが追加され、OWASP API Security Top 10やスキーマ検証などのすぐに使用できるサポートにより、API ゲートウェイを保護し、一般的な脅威や高度な脅威から防御できるようになります。

API 接続マネージャーで市場投入までの時間を短縮

API の拡散によって生じる課題を解決することで、マルチアーキテクチャの複雑さを競争上の優位性に変えることができます。 API Connectivity Manager は、開発者が必要とするスピードと柔軟性を備え、大規模なガバナンスをサポートする回復力のある API エコシステムの構築に役立ちます。

次回の投稿では、API 開発者のエクスペリエンスについて詳しく説明し、CI/CD 統合、セルフサービス ワークフロー、API ライフサイクル管理などのトピックについて説明します。

始める

API Connectivity Manager とInstance Managerを含むNGINX Management Suite の30 日間無料トライアルを開始します。

関連リソース

• ブログ: F5 NGINX Management Suite でアプリと API を接続、拡張、保護
• ソリューション概要: NGINX 管理スイート API 接続マネージャー