O desenvolvimento de aplicativos avança rapidamente e a inovação muda continuamente a face de nossas interações. Devido às complexidades dos contêineres distribuídos, essa ênfase na velocidade às vezes leva à resistência ao gerenciamento de API e à aplicação de controles de segurança e infraestrutura. Infelizmente, como as APIs são cada vez mais consumidas pela troca de dados entre microsserviços, elas estão se tornando uma vulnerabilidade potencial que pode expor dados confidenciais. Isso significa que todos os endpoints de API devem ter pelo menos um grau mínimo de risco padronizado, configuração e aplicação de políticas; no entanto, como a automação da publicação de API remove elementos tradicionais de interação e supervisão do usuário, as mesmas tendências que tornam as APIs mais valiosas também as tornam mais vulneráveis.

Os gateways de API geralmente são projetados para gerenciar a publicação de APIs em uma plataforma ou em clusters de microsserviços; facilidade de uso e automação são os principais motivadores para adoção porque é difícil dimensionar a interconectividade de API para atender às demandas de tráfego do cliente à medida que seu portfólio de aplicativos cresce, permanecendo independente de plataforma. Isso explica por que configurações incorretas de API e falhas de segurança foram a causa de algumas das violações de dados de API de maior visibilidade .

O DevOps é responsável por um número cada vez maior de pipelines de automação, cada um exigindo ferramentas diferentes para atender aos requisitos do desenvolvedor e do aplicativo. Esses cenários criam padrões de tráfego de API desconectados e instâncias de gerenciamento, ainda mais complicados por soluções de observabilidade desconectadas.  Infelizmente, ainda é comum que equipes de desenvolvimento e DevOps sejam avaliadas pela frequência de lançamentos, mas não pela segurança dos lançamentos.

O resultado são falhas no gerenciamento do crescimento da API corporativa em escala, criando riscos e exposições novos e não intencionais devido ao uso não autorizado da API — algumas das ameaças mais comuns de acordo com o API Security Top 10 da OWASP .

As APIs também encontram problemas de desempenho ao gerenciar tráfego em escala. Um atraso de transação de 50 a 100 milissegundos pode ser aceitável para o lançamento inicial de um aplicativo, mas quando multiplicado por centenas ou milhares de microsserviços dimensionados para atender à demanda do cliente, esses atrasos se somam e tornam lenta toda a cadeia do aplicativo. O resultado? Baixo desempenho e expectativas do cliente frustradas.

Automatizar o acesso, a configuração e a segurança do endpoint da API em todo o portfólio de aplicativos corporativos, do desenvolvimento inicial à implantação da produção, permitirá que o DevOps aborde o desempenho e as vulnerabilidades potenciais em escala para que possam se concentrar em outros problemas do pipeline de automação. 

Os aplicativos nativos da nuvem são cada vez mais distribuídos e descentralizados por design, contando com centenas, se não milhares, de terminais baseados em API, com milhões de transações como a principal fonte de tráfego. Uma pesquisa recente do F5 Labs mostra que o número de incidentes de segurança de API cresce a cada ano e que as causas mais frequentes de incidentes de API nos últimos dois anos estão relacionadas a baixos níveis de maturidade de segurança, geralmente causados pela proliferação de ferramentas.

Quando diferentes equipes de desenvolvimento trabalham em diferentes partes de aplicativos distribuídos em diversas plataformas, isso cria uma complexidade no gerenciamento de APIs que resulta em aplicativos inseguros e de baixo desempenho. Problemas podem surgir de falhas de implantação, desempenho degradado ou acesso malicioso a tráfego sensível, e é difícil remediar, muito menos identificar, a causa. Reduzir essa complexidade em escala reduz riscos e fornece um conjunto consistente de políticas de configuração, desempenho e segurança otimizadas em torno de seus objetivos de negócios. Fornecer ao DevOps um conjunto padrão de ferramentas para automatizar os controles corretos nos processos de desenvolvimento e gerenciamento de API permite que seus aplicativos cresçam junto com seu negócio.

As empresas precisam manter e evoluir suas APIs tradicionais e, ao mesmo tempo, desenvolver novas usando arquiteturas de microsserviços nativas da nuvem. Eles podem ser entregues com sistemas privados bare metal, da nuvem ou por meio de soluções de trânsito multinuvem. As APIs são difíceis de categorizar, pois são usadas para fornecer uma variedade de experiências ao usuário, cada uma delas potencialmente exigindo um conjunto diferente de controles de desenvolvimento, publicação e segurança. A flexibilidade das soluções F5 NGINX pode abordar diversos casos de uso ou padrões arquitetônicos para atender aos requisitos de qualquer equipe de desenvolvimento.

Em seu Relatório de Tendências do Mercado de Nuvem, a Futuriom relata que “as APIs têm sido um elemento crucial da virtualização de data centers e SD-WAN, e se tornarão cada vez mais importantes para conectar redes multi-nuvem”.

Em todas as soluções descritas abaixo, o F5 NGINX Management Suite é usado para funções de gerenciamento de API, como publicação de APIs , configuração de autenticação e autorização e uso do gateway de API oferecido no F5 NGINX Plus para formar o caminho de dados. Os controles de segurança são abordados com base nos requisitos de segurança da plataforma de entrega de dados e API.

1. APIs para negócios altamente regulamentados
   
   APIs empresariais que envolvem a troca de informações confidenciais ou regulamentadas podem exigir controles de gerenciamento, relatórios e segurança para permitir a conformidade com regulamentações adicionais ou mandatos do setor. Por exemplo, aplicativos que fornecem informações de saúde protegidas ou informações financeiras confidenciais devem atender a padrões específicos do setor. A aplicação de políticas, o controle de acesso auditável baseado em funções, a análise e a inspeção de carga útil em escala tornam-se mecanismos essenciais para gerenciar e proteger esse tipo de API.
   
   Combinando a tecnologia avançada de firewall de aplicativo da Web (WAF) líder do setor para interfaces de aplicativo com o F5 NGINX Plus API Gateway e o F5 NGINX App Protect WAF, fornece proteção superior de perímetro, API e microsserviços para disponibilidade e desempenho de missão crítica.
   
   
2. APIs distribuídas em várias nuvens
   
   Aplicativos móveis que atendem usuários ao redor do mundo precisam de backends geodistribuídos para fornecer respostas de API de baixa latência. Outros serviços de aplicativos também podem precisar ser distribuídos, movendo altas cargas de trabalho de transações para mais perto dos consumidores ou dos dados para melhorar o desempenho. Para otimizar o tempo de resposta, você precisará de uma plataforma distribuída para orquestrar a entrega de endpoints de API de vários locais para atender sua base de usuários. 
   
   O F5 NGINX Plus oferece gateway de API independente de plataforma, balanceamento de carga e recursos de segurança. Implantado com o módulo F5 NGINX Management Suite API Connectivity Manager , ele fornece às equipes de DevOps e AppDev publicação de API de alto desempenho, automatizada e segura em escala.
   
   Para fornecer conectividade multi-nuvem avançada para seus ambientes distribuídos, as soluções de rede multi-nuvem da F5 Distributed Cloud separam os desafios de infraestrutura de rede direcionados ao NetOps da implantação de aplicativos. O DevOps pode parar de se preocupar com sobreposição de endereços IP e configurações complexas de roteamento e, em vez disso, se concentrar em fornecer infraestrutura pronta para desenvolvimento a qualquer momento. Faça um teste dos casos de uso de implantação de NGINX e Serviços de Nuvem Distribuída da F5 para resolver seus desafios de multinuvem.
   
   
3. Cargas de trabalho de API no Kubernetes
   
   O F5 NGINX Ingress Controller é um balanceador de carga, cache, gateway de API e WAF completo para microsserviços no Kubernetes . Combinado com o F5 NGINX Service Mesh sempre gratuito, o DevOps controla o desenvolvimento e a implantação da API. O NGINX Ingress Controller para NGINX Plus integra-se totalmente ao NGINX App Protect em uma configuração única e fácil de implantar, reduzindo o custo e a complexidade de aplicativos de nível de produção. O NGINX Service Mesh é usado para fornecer visibilidade leste-oeste e segurança baseada em mTLS para cargas de trabalho.
   
   O NGINX Ingress Controller para NGINX Plus integra-se ao NGINX Service Mesh para um plano de dados unificado com segurança, funcionalidade e escala de nível de produção. Leve e focado no gerenciamento de tráfego de aplicativos da Camada 7 dentro de clusters, o NGINX Service Mesh não é intrusivo, permitindo que o restante da sua pilha de tecnologia funcione sem complicações, como deveria ser.

As soluções da F5 entregam, gerenciam e protegem APIs e a infraestrutura usada para hospedá-las, independentemente da sua plataforma ou arquitetura de automação. O F5 oferece forte proteção contra bots e explorações de API comuns e avançadas, com integração DevOps para publicação e visibilidade do desempenho da API. Combinadas, essas soluções ajudam você a atingir sua meta de portabilidade de aplicativos em qualquer lugar que você implementar, aproximando as cargas de trabalho dos seus clientes.

Dê às suas equipes de desenvolvimento e operações a agilidade necessária para dar suporte aos negócios agora, oferecendo a elas a liberdade de usar o ambiente certo para o trabalho, seja hospedado na nuvem ou no local, e a versatilidade para dar suporte aos negócios no futuro, com portabilidade de arquitetura que se move junto com você.

Saiba mais com o Manual da API em tempo real F5 NGINX