5 maneiras de combater a proliferação de APIs (e por que você deve se importar)

Esta é a primeira postagem de uma série de duas partes sobre o API Connectivity Manager:

• 5 maneiras de combater a proliferação de APIs (e por que você deve se importar) – este post
• Por que a experiência do desenvolvedor de API é importante

As APIs são o tecido conectivo da Internet moderna, conectando dados da borda de volta à nuvem e aos data centers locais. De acordo com o Relatório de Estratégia de Aplicação de 2021 da F5, aproveitar APIs é o mais popular dos vários métodos que as organizações estão usando para modernizar:

• 58% das organizações estão adicionando uma camada de APIs para habilitar interfaces de usuário modernas
• 51% estão adicionando componentes de aplicativos modernos (por exemplo, Kubernetes)
• 47% estão refatorando (modificando o próprio código do aplicativo)
• 40% estão migrando para a nuvem pública (elevação e mudança) sem modernização

Em uma economia orientada por APIs, as APIs devem ser 100% confiáveis. Mas à medida que os negócios e os aplicativos crescem, a complexidade operacional se multiplica. Os aplicativos nativos da nuvem são cada vez mais distribuídos e descentralizados por design – compostos por dezenas, centenas ou até milhares de APIs implantadas em ambientes de nuvem, locais e de ponta.

Uma pesquisa recente do Escritório do CTO da F5 identificou a proliferação contínua de APIs como uma ameaça significativa para empresas que estão passando por transformação digital. Mas o que isso significa?

O que é expansão de API?

A proliferação de APIs descreve dois desafios interligados que surgem à medida que as organizações implementam a transformação digital: crescimento exponencial no número de APIs e a distribuição física de APIs em diversas arquiteturas e equipes.

Os quatro principais impulsionadores da proliferação de APIs são:

• Infraestrutura híbrida – Hoje, 81% das empresas operam em três ou mais arquiteturas, incluindo nuvens públicas, data centers locais e infraestrutura de ponta.
• Arquiteturas de microsserviços – A crescente adoção de arquiteturas de microsserviços leva à proliferação de endpoints de API à medida que novos serviços ficam online.
• Implantação contínua de software – Os desenvolvedores podem produzir rapidamente dezenas de APIs, ou muitas versões de uma única API, em um curto período de tempo.
• APIs abandonadas – À medida que os desenvolvedores passam a dar suporte e trabalhar em outros projetos, eles param de gerenciar e manter as APIs que criaram.

A expansão da API é uma ameaça significativa

Muitas empresas ainda não reconhecem a proliferação de APIs como um problema significativo, mas é . As organizações que entendem e abordam as causas raiz da proliferação de APIs são as que prosperarão na próxima década.

A proliferação de APIs traz desafios operacionais e de segurança significativos para as empresas. À medida que os endpoints de API proliferam em diversas equipes e ambientes, proteger e governar APIs se torna um desafio monumental. Para as empresas, a proliferação de APIs geralmente resulta em custos ocultos – menor produtividade do desenvolvedor, maior retrabalho, revisões mais lentas – que não são facilmente mensuráveis até que seja tarde demais.

Os principais desafios da proliferação de APIs incluem:

• Falta de visibilidade – Arquiteturas híbridas tornam extremamente difícil obter uma visão unificada do tráfego e das configurações da API
• Nenhuma fonte clara de verdade – Os desenvolvedores lutam para descobrir APIs e documentação atualizada
• Confiabilidade reduzida – Configurações incorretas se tornam mais comuns, resultando em interrupções
• Ameaças de segurança elevadas – Pontos de extremidade de API não seguros são alvos fáceis para ataques

Como você pode combater a proliferação de APIs?

O primeiro passo para construir uma infraestrutura de API resiliente é controlar a proliferação de APIs com uma estratégia de API holística que incorpore as melhores práticas em torno da propriedade persistente de APIs e um catálogo central de APIs ou serviços. Em seguida, sobreponha a governança da API para otimizar o gerenciamento do ciclo de vida da API de maneira prática e escalável.

Na NGINX, criamos uma solução de plano de gerenciamento para reduzir a complexidade do gerenciamento de APIs. O API Connectivity Manager , parte do F5 NGINX Management Suite , fornece uma interface única para conectar, governar e proteger suas APIs, independentemente de onde elas estejam localizadas ou de quem as esteja criando.

O API Connectivity Manager ajuda você a executar as cinco táticas essenciais para combater a proliferação de APIs e gerenciar APIs em escala:

• Implementar uma estratégia de governança de API
• Crie uma única fonte de verdade para APIs
• Garantir o controle de versão e a documentação adequados
• Forneça métricas e visibilidade
• Aplique a segurança da API em escala

Tática nº 1: Implementar uma estratégia de governança de API

O gerenciamento e o controle centralizados facilitam a descoberta, a conexão e a proteção de APIs em uma única arquitetura ou cluster. A proliferação de APIs força você a ajustar sua maneira de pensar – de um modelo puramente hierárquico para um modelo distribuído e de escala autônoma.

Como o NGINX ajuda – Com o API Connectivity Manager, você pode implementar um modelo de governança flexível que equilibra políticas globais com controles refinados para que os proprietários de API possam gerenciar políticas locais. Isso ajuda a acelerar o tempo de colocação no mercado sem sacrificar a supervisão consistente de segurança e conformidade.

As equipes de plataforma e infraestrutura podem garantir a consistência da API em toda a empresa com políticas globais para registro, códigos de resposta de erro, configuração de TLS e muito mais. Os desenvolvedores que criam e gerenciam APIs mantêm o controle das políticas de nível de serviço, como limitação de taxa, autenticação e autorização.

Tática nº 2: Crie uma única fonte de verdade para descoberta de API

À medida que o número de APIs e a complexidade dos aplicativos aumentam, fica muito difícil descobrir e rastrear quais APIs estão disponíveis e onde elas estão localizadas. Se as APIs estiverem ocultas na infraestrutura de um microsserviço específico e não forem registradas, as equipes responsáveis por outros microsserviços não poderão encontrar e integrar essas APIs em seus projetos.

Como o NGINX ajuda – Com o API Connectivity Manager, você pode criar catálogos de serviços e portais de API onde os desenvolvedores podem descobrir e usar suas APIs. Uma boa experiência no portal do desenvolvedor promove o consumo de suas APIs ao fornecer um local central para informações sobre quais APIs estão disponíveis e como usá-las, além de ferramentas para gerar credenciais.

Tática nº 3: Garantir o controle de versão e a documentação adequados

Os portais de API são um bom primeiro passo. No entanto, surgem problemas quando as especificações da API mudam durante os ciclos de desenvolvimento. A implicação é que o serviço remoto que chama uma API também precisa mudar. Essa abordagem pode funcionar se todos os microsserviços estiverem sendo projetados pela mesma equipe para o mesmo aplicativo, mas não quando as APIs estiverem sendo publicadas para consumo por terceiros.

Ao mesmo tempo, manter a documentação é uma dor de cabeça para os desenvolvedores. Após um surto inicial de atividade, os portais de API geralmente ficam obsoletos, tornando-se cidades fantasmas de APIs sem suporte e documentação desatualizada, deixando as partes interessadas e os usuários da API perdidos e frustrados.

Como o NGINX ajuda – Com o API Connectivity Manager, você pode integrar a publicação e a documentação da API em um fluxo de trabalho perfeito para desenvolvedores de API. Os proprietários de APIs podem publicar APIs e gerar documentação simultaneamente usando a especificação OpenAPI , economizando tempo e garantindo que a documentação permaneça atualizada para todos.

Tática nº 4: Forneça métricas e visibilidade no tráfego da API

Entender onde as APIs estão localizadas e como elas são configuradas é um dos desafios mais significativos que as empresas enfrentam. Sem uma visão consistente do tráfego de API em todos os ambientes, identificar problemas de desempenho e ameaças à segurança é difícil, se não impossível.

Como o NGINX ajuda – Com o API Connectivity Manager, você pode criar uma plataforma única que fornece acesso a métricas importantes que ajudam a aplicar as melhores práticas e garantir desempenho e confiabilidade. Os proprietários de infraestrutura podem monitorar o tráfego e as configurações da API, aplicar formatos de log padronizados e exportar dados para suas soluções de monitoramento preferidas.

Tática nº 5: Aplique a segurança da API em escala

Mais de 90% das empresas sofreram um incidente de segurança de API em 2020 . A superfície de ameaça da sua organização aumenta a cada novo ponto de extremidade de API que fica online. Em escala, a segurança não pode ser um recurso adicional – ela deve ser incorporada a todo o ciclo de vida, desde a especificação até o código e a implantação.

Como o NGINX ajuda – Com o API Connectivity Manager, você pode proteger APIs com dois componentes principais para segurança de API: Controle de acesso à API e proteção de API. Aplique o controle de acesso à API gerenciando a autenticação e a autorização com JSON Web Tokens (JWTs), chaves de API ou OAuth2/OpenID Connect. Nos próximos meses, o API Connectivity Manager adicionará suporte ao NGINX App Protect WAF para que você possa proteger seus gateways de API e se defender contra ameaças comuns e avançadas com suporte pronto para uso para o OWASP API Security Top 10 , validação de esquema e muito mais.

Acelere o tempo de colocação no mercado com o API Connectivity Manager

Ao resolver os desafios apresentados pela proliferação de APIs, você pode transformar a complexidade da multiarquitetura em uma vantagem competitiva. O API Connectivity Manager ajuda você a criar um ecossistema de API resiliente que oferece suporte à governança em escala com a velocidade e a flexibilidade que seus desenvolvedores precisam.

Em nossa próxima postagem, vamos nos aprofundar na experiência do desenvolvedor de API e discutir tópicos como integração de CI/CD, fluxos de trabalho de autoatendimento e gerenciamento do ciclo de vida da API.

Começar

Inicie uma avaliação gratuita de 30 dias do NGINX Management Suite , que inclui o API Connectivity Manager e o Instance Manager .

Recursos relacionados

• Blogue: Conecte, dimensione e proteja aplicativos e APIs com o F5 NGINX Management Suite
• Resumo da solução: Gerenciador de conectividade da API do NGINX Management Suite