Die Anwendungsentwicklung schreitet rasch voran und Innovationen verändern ständig das Gesicht unserer Interaktionen. Aufgrund der Komplexität verteilter Container führt diese Betonung der Geschwindigkeit manchmal zu Widerstand gegen die API-Verwaltung und die Durchsetzung von Sicherheits- und Infrastrukturkontrollen. Da APIs jedoch zunehmend für den Datenaustausch zwischen Microservices genutzt werden, werden sie leider zu einer potenziellen Schwachstelle, durch die vertrauliche Daten offengelegt werden können. Dies bedeutet, dass alle API-Endpunkte zumindest über ein Mindestmaß an standardisierten Risiken, Konfigurationen und Richtliniendurchsetzungen verfügen sollten. Da jedoch durch die Automatisierung der API-Veröffentlichung traditionelle Elemente der Benutzerinteraktion und -überwachung entfernt werden, führen dieselben Trends, die APIs wertvoller machen, auch dazu, dass sie anfälliger werden.

API-Gateways sind in der Regel dafür ausgelegt, die Veröffentlichung von APIs auf einer Plattform oder in Microservice-Clustern zu verwalten. Benutzerfreundlichkeit und Automatisierung sind die Hauptgründe für die Einführung, da es schwierig ist, die API-Interkonnektivität zu skalieren, um den Anforderungen des Kundenverkehrs gerecht zu werden, wenn Ihr Anwendungsportfolio wächst und Sie gleichzeitig plattformunabhängig bleiben. Dies erklärt, warum API-Fehlkonfigurationen und Sicherheitslücken die Ursache für einige der schwerwiegendsten API-Datenlecks waren.

DevOps ist für eine steigende Anzahl von Automatisierungspipelines verantwortlich, von denen jede unterschiedliche Tools erfordert, um die Anforderungen von Entwicklern und Anwendungen zu erfüllen. Diese Szenarien erzeugen getrennte API-Verkehrsmuster und Verwaltungsinstanzen, die durch getrennte Beobachtungslösungen noch komplizierter werden.  Leider werden Entwicklungs- und DevOps-Teams immer noch häufig an ihrer Release-Häufigkeit gemessen – nicht jedoch an ihrer Release-Sicherheit.

Die Folge sind Fehler beim Management des API-Wachstums im großen Maßstab und die damit einhergehenden neuen und unbeabsichtigten Risiken und Gefährdungen durch die unbefugte Nutzung der API – laut den API Security Top 10 von OWASP einige der häufigsten Bedrohungen.

Bei der Verwaltung großen Datenverkehrs treten bei APIs auch Leistungsprobleme auf. Eine Transaktionsverzögerung von 50 bis 100 Millisekunden kann für die erste Einführung einer Anwendung akzeptabel sein. Multipliziert man diese Verzögerungen jedoch mit Hunderten oder Tausenden von Microservices, die zur Erfüllung der Kundennachfrage skaliert werden müssen, summieren sich diese Verzögerungen und verlangsamen die gesamte Anwendungskette. Das Ergebnis? Schlechte Leistung und nicht erfüllte Kundenerwartungen.

Durch die Automatisierung des Zugriffs auf API-Endpunkte, der Konfiguration und der Sicherheit im gesamten Anwendungsportfolio des Unternehmens, von der ersten Entwicklung bis zur Bereitstellung in der Produktion, kann DevOps Leistungsprobleme und potenzielle Schwachstellen in großem Umfang beheben, sodass sie sich auf andere Probleme der Automatisierungspipeline konzentrieren können. 

Cloud-native Anwendungen sind von Natur aus zunehmend verteilt und dezentralisiert und basieren auf Hunderten, wenn nicht Tausenden von API-basierten Endpunkten, wobei Millionen von Transaktionen die primäre Datenverkehrsquelle darstellen. Aktuelle Untersuchungen von F5 Labs zeigen, dass die Anzahl der API-Sicherheitsvorfälle jedes Jahr steigt und dass die häufigsten Ursachen für API-Vorfälle in den letzten zwei Jahren auf einen geringen Reifegrad der Sicherheit zurückzuführen sind, der oft durch die Vielzahl der Tools verursacht wird.

Wenn verschiedene Entwicklungsteams auf mehreren Plattformen an unterschiedlichen Teilen verteilter Anwendungen arbeiten, entsteht eine Komplexität der API-Verwaltung, die unsichere Anwendungen mit schlechter Leistung zur Folge hat. Probleme können durch Bereitstellungsfehler, Leistungseinbußen oder böswilligen Zugriff auf vertraulichen Datenverkehr entstehen und es ist schwierig, diese zu beheben, geschweige denn die Ursache zu ermitteln. Durch die Reduzierung dieser Komplexität im großen Maßstab werden Risiken gemindert und ein konsistenter Satz von Konfigurations-, Leistungs- und Sicherheitsrichtlinien bereitgestellt, die auf Ihre Geschäftsziele optimiert sind. Indem Sie DevOps einen Standardsatz an Tools zur Verfügung stellen, um die richtigen Kontrollen in den API-Entwicklungs- und -Verwaltungsprozessen zu automatisieren, können Ihre Anwendungen parallel zu Ihrem Unternehmen wachsen.

Unternehmen müssen ihre herkömmlichen APIs pflegen und weiterentwickeln und gleichzeitig mithilfe Cloud-nativer Microservice-Architekturen neue entwickeln. Diese können entweder mit Bare-Metal-Privatsystemen, aus der Cloud oder über Multi-Cloud-Transitlösungen bereitgestellt werden. APIs lassen sich nur schwer kategorisieren, da sie für die Bereitstellung unterschiedlicher Benutzererfahrungen eingesetzt werden und jede davon potenziell unterschiedliche Entwicklungs-, Veröffentlichungs- und Sicherheitskontrollen erfordert. Die Flexibilität der F5 NGINX-Lösungen ermöglicht es, zahlreiche unterschiedliche Anwendungsfälle oder Architekturmuster abzudecken und so die Anforderungen jedes Entwicklerteams zu erfüllen.

Futuriom berichtet in seinem Cloud Market Trend Report: „APIs waren ein entscheidendes Element der Rechenzentrums- und SD-WAN-Virtualisierung und werden für die Verbindung von Multi-Cloud-Netzwerken immer wichtiger.“

In allen unten beschriebenen Lösungen wird die F5 NGINX Management Suite für API-Verwaltungsfunktionen verwendet, etwa zum Veröffentlichen der APIs , zum Einrichten von Authentifizierung und Autorisierung und zur Verwendung des in F5 NGINX Plus angebotenen API-Gateways zum Bilden des Datenpfads. Sicherheitskontrollen werden basierend auf den Sicherheitsanforderungen der Daten- und API-Bereitstellungsplattform durchgeführt.

1. APIs für stark regulierte Unternehmen
   
   Business-APIs, die den Austausch vertraulicher oder regulierter Informationen beinhalten, erfordern möglicherweise Verwaltungs-, Berichts- und Sicherheitskontrollen, um die Einhaltung zusätzlicher Bestimmungen oder Branchenmandate zu ermöglichen. Beispielsweise müssen Anwendungen, die geschützte Gesundheitsinformationen oder sensible Finanzdaten übermitteln, branchenspezifische Standards erfüllen. Die Durchsetzung von Richtlinien, eine überprüfbare, rollenbasierte Zugriffskontrolle, Analysen und eine umfassende Nutzlastprüfung werden zu wichtigen Mechanismen für die Verwaltung und den Schutz dieser Art von API.
   
   Die Kombination der branchenführenden WAF-Technologie (Advanced Web Application Firewall) für Anwendungsschnittstellen mit F5 NGINX Plus API Gateway und F5 NGINX App Protect WAF bietet überlegenen Perimeter-, API- und Microservices-Schutz für unternehmenskritische Verfügbarkeit und Leistung.
   
   
2. Verteilte APIs in mehreren Clouds
   
   Mobile Apps, die Benutzer auf der ganzen Welt bedienen, benötigen geografisch verteilte Backends, um API-Antworten mit geringer Latenz bereitzustellen. Möglicherweise müssen auch andere Anwendungsdienste verteilt werden, um hohe Transaktionslasten näher an die Verbraucher oder an die Daten zu verlagern und so die Leistung zu verbessern. Um die Reaktionszeit zu optimieren, benötigen Sie eine verteilte Plattform, um die Bereitstellung von API-Endpunkten von mehreren Standorten aus zu orchestrieren und so Ihre Benutzerbasis zu bedienen. 
   
   F5 NGINX Plus bietet plattformunabhängiges API-Gateway, Lastausgleich und Sicherheitsfunktionen. In Kombination mit dem Modul „API Connectivity Manager“ der F5 NGINX Management Suite bietet es DevOps- und AppDev-Teams leistungsstarke, automatisierte und sichere API-Veröffentlichung im großen Maßstab.
   
   Um erweiterte Multi-Cloud-Konnektivität für Ihre verteilten Umgebungen bereitzustellen, trennen die Multi-Cloud-Netzwerklösungen von F5 Distributed Cloud die auf NetOps ausgerichteten Herausforderungen der Netzwerkinfrastruktur von der Anwendungsbereitstellung. DevOps muss sich keine Gedanken mehr über IP-Adressüberschneidungen und komplexe Routing-Konfigurationen machen und kann sich stattdessen auf die Bereitstellung einer entwicklungsbereiten Infrastruktur innerhalb kürzester Zeit konzentrieren. Machen Sie eine Probefahrt mit den Anwendungsfällen für die Bereitstellung von Distributed Cloud Services und NGINX von F5, um Ihre Multi-Cloud-Herausforderungen zu lösen.
   
   
3. API-Workloads in Kubernetes
   
   F5 NGINX Ingress Controller ist ein All-in-One-Load Balancer, Cache, API-Gateway und WAF für Microservices in Kubernetes . In Kombination mit dem stets kostenlosen F5 NGINX Service Mesh kontrolliert DevOps die Entwicklung und Bereitstellung von APIs. NGINX Ingress Controller für NGINX Plus ist in einer einzigen, einfach bereitzustellenden Konfiguration vollständig in NGINX App Protect integriert und reduziert so die Kosten und Komplexität produktionsreifer Anwendungen. NGINX Service Mesh wird verwendet, um Ost-West-Sichtbarkeit und mTLS-basierte Sicherheit für Workloads bereitzustellen.
   
   NGINX Ingress Controller für NGINX Plus lässt sich in NGINX Service Mesh integrieren, um eine einheitliche Datenebene mit Sicherheit, Funktionalität und Skalierbarkeit auf Produktionsniveau zu schaffen. NGINX Service Mesh ist leichtgewichtig und auf die Verwaltung des Layer-7-Anwendungsverkehrs innerhalb von Clustern ausgerichtet. Es ist nicht intrusiv und sorgt dafür, dass der Rest Ihres Tech-Stacks wie vorgesehen ohne Komplikationen funktioniert.

Die Lösungen von F5 liefern, verwalten und sichern APIs und die zu deren Hosting verwendete Infrastruktur, unabhängig von Ihrer Plattform oder Automatisierungsarchitektur. F5 bietet starken Schutz vor Bots und gängigen und erweiterten API-Exploits mit DevOps-Integration für die Veröffentlichung und Transparenz der API-Leistung. In Kombination helfen Ihnen diese Lösungen dabei, Ihr Ziel der Anwendungsportabilität überall dort zu erreichen, wo Sie sie einsetzen, und die Workloads näher an Ihre Kunden zu bringen.

Geben Sie Ihren Entwicklungs- und Betriebsteams die nötige Agilität, um das Geschäft jetzt zu unterstützen, indem Sie ihnen die Freiheit geben, die richtige Umgebung für die jeweilige Aufgabe zu verwenden – ob in der Cloud oder vor Ort – und die Vielseitigkeit, das Geschäft in Zukunft zu unterstützen, mit einer Architekturportabilität, die sich Ihren Veränderungen anpasst.

Erfahren Sie mehr mit dem F5 NGINX Real-Time API Handbook