• Share via AddThis

DESCRIPCIÓN GENERAL DE LA SOLUCIÓN

Prácticas recomendadas y soluciones para la gestión de las API

Permita a los desarrolladores tener el control con las soluciones de gestión y puertas de enlace de API rápidas, seguras y escalables de F5

Ilustración de soluciones-gestión-api

Las API son un elemento fundamental del desarrollo de aplicaciones nativas en la nube y en contenedores. Al permitir que los equipos operativos trabajen de forma colectiva, las API pueden acelerar el tiempo de comercialización del desarrollo de aplicaciones y ayudarle a ofrecer mejores experiencias de usuario que sus competidores. Por otro lado, el uso de API ha descentralizado la estructura de las aplicaciones. Esto hace que el diseño, la publicación y la gestión de las API sean más difíciles, lo que a su vez crea un reto de gestión complejo y propenso a los riesgos. Sin controles de tráfico y políticas automatizados y de alto rendimiento, el crecimiento y la complejidad de las API frenarán la agilidad de los desarrolladores.

F5 ofrece una solución completa para gestionar de forma segura las API en cualquier centro de datos o nube mediante una arquitectura sencilla, rápida y escalable. Esto ayuda a mejorar el tiempo de comercialización al permitir la automatización de las implementaciones y la gestión de las API, al tiempo que protege contra las amenazas específicas de las API. F5 ofrece una gestión de API nativa de la nube, puertas de enlace de API de alto rendimiento y controles de seguridad, todo en una sola solución, reduciendo la proliferación de herramientas y la complejidad de la arquitectura.

Beneficios clave

Seguridad centrada en las API

Protección contra las vulnerabilidades comunes y avanzadas específicas de las API que las pasarelas de API no pueden ofrecer

Arquitecturas API de microservicios nativas en la nube

Integración perfecta en prácticamente cualquier diseño o arquitectura de implementación: proxy de borde, Kubernetes, puertas de enlace Ingress, sin servidor, etc.

Soluciones integradas de entrega de API

Mejora de la eficacia operativa con la seguridad y la puerta de enlace integradas
Compatible con DevOps/AppDev

Seguridad, automatización y gestión de la configuración tan ágiles como sus equipos de DevOps, lo que acelera el tiempo de comercialización a un coste reducido

Entender los retos de la gestión de API de empresa

El desarrollo de aplicaciones avanza con rapidez y la innovación cambia continuamente el aspecto de nuestras interacciones. Debido a las complejidades de los contenedores distribuidos, este énfasis en la velocidad a veces conduce a una resistencia en la gestión de las API y a la aplicación de controles de seguridad e infraestructura. Lamentablemente, dado que las API se consumen cada vez más en el intercambio de datos entre microservicios, se están convirtiendo en una vulnerabilidad potencial que podría exponer datos sensibles. Esto significa que todos los puntos finales de las API deberían tener al menos un grado mínimo de riesgo, configuración y aplicación de políticas estandarizadas; sin embargo, debido a que la automatización de la publicación de las API elimina los elementos tradicionales de interacción y supervisión del usuario, las mismas tendencias que hacen que las API sean más valiosas también las están haciendo más vulnerables.

La mayoría de las puertas de enlace de API carecen de controles adecuados para la gestión a escala

Las puertas de enlace de API suelen estar diseñadas para gestionar la publicación de API en una plataforma o en clústeres de microservicios. La facilidad de uso y la automatización son los principales impulsores de su adopción, ya que es difícil escalar la interconectividad de las API para satisfacer las demandas de tráfico de los clientes a medida que crece su cartera de aplicaciones, sin dejar de ser agnóstica a la plataforma. Esto explica por qué las configuraciones deficientes de las API y los fallos de seguridad han sido la causa de algunas de las violaciones de la seguridad de los datos de las API más conocidas.

Los equipos de DevOps son responsables del aumento de procesos de automatización, cada uno de los cuales requiere diferentes herramientas para cumplir los requisitos de los desarrolladores y las aplicaciones. Estos escenarios crean patrones de tráfico de API e instancias de gestión desconectadas, lo que se complica aún más con soluciones de observabilidad desconectadas. Desgraciadamente, sigue siendo habitual evaluar a los equipos de desarrollo y DevOps según la frecuencia de sus lanzamientos, pero no por la seguridad de los mismos.

El resultado son fallos en la gestión del crecimiento de las API de las empresas a escala, lo que crea nuevos riesgos y exposiciones no deseadas por el uso no autorizado de API, que son algunas de las amenazas más comunes según el top 10 de seguridad de las API de OWASP.

Las API también encuentran problemas de rendimiento cuando gestionan el tráfico a escala. Un retraso de 50-100 milisegundos en las transacciones puede ser aceptable para el lanzamiento inicial de una aplicación, pero cuando se multiplica entre cientos o miles de microservicios que se amplían para satisfacer la demanda de los clientes, esos retrasos se acumulan y ralentizan toda la cadena de la aplicación. ¿El resultado? Un mal rendimiento y el fracaso de las expectativas de los clientes.

La automatización del acceso a los puntos de conexión de las API, la configuración y la seguridad en toda la cartera de aplicaciones de la empresa, desde el desarrollo inicial hasta el despliegue en producción, permitirá a DevOps abordar el rendimiento y las posibles vulnerabilidades a escala para poder centrarse en otros problemas de la cadena de automatización.

Controles incoherentes en entornos de API de microservicios

Las aplicaciones nativas de la nube están cada vez más distribuidas y descentralizadas por diseño, y dependen de cientos, si no miles, de puntos de conexión basados en API, con millones de transacciones como fuente principal de tráfico. Una investigación reciente de F5 Labs muestra que el número de incidentes de seguridad de las API crece cada año y que las causas más frecuentes de los incidentes de las API de los últimos dos años están relacionadas con los bajos niveles de madurez de la seguridad, a menudo causados por la proliferación de herramientas.

Cuando diferentes equipos de desarrollo trabajan en diferentes partes de las aplicaciones distribuidas a través de múltiples plataformas, se crea una complejidad en la gestión de la API que da lugar a aplicaciones poco seguras y de bajo rendimiento. Los problemas pueden surgir por fallos de despliegue, rendimiento degradado o acceso malintencionado al tráfico sensible, y es difícil remediar, y mucho menos localizar, la causa. La reducción de esta complejidad a escala reduce el riesgo y proporciona un conjunto coherente de políticas de configuración, rendimiento y seguridad optimizadas en torno a sus objetivos empresariales. Proporcionar a los equipos de DevOps un conjunto de herramientas estándar para automatizar los controles adecuados en los procesos de desarrollo y gestión de API permite que sus aplicaciones crezcan junto con su negocio.

La solución

Las empresas necesitan mantener y hacer evolucionar sus API tradicionales, al tiempo que desarrollan otras nuevas utilizando arquitecturas de microservicios nativas de la nube. Estas pueden suministrarse con sistemas privados de tipo bare metal, desde la nube o a través de soluciones de tránsito multi-cloud. Las API son difíciles de clasificar, ya que se utilizan para ofrecer una variedad de experiencias de usuario, cada una de las cuales requiere un conjunto diferente de controles de desarrollo, publicación y seguridad. La flexibilidad de las soluciones F5 NGINX puede abordar múltiples casos de uso o patrones arquitectónicos diferentes para satisfacer los requisitos de cualquier equipo de desarrollo.

diagrama

Figura 1: F5 es el único proveedor que puede ofrecer gestión de API, puertas de enlace de API de alto rendimiento y controles de seguridad avanzados, todo en una sola solución

En su informe sobre las tendencias del mercado de la nube, Futuriom informa de que «las API han sido un elemento crucial del centro de datos y de la virtualización SD-WAN, y serán cada vez más importantes para conectar las redes multi-cloud».

Casos de uso comunes de gestión y publicación de API

En todas las soluciones descritas a continuación, F5 NGINX Management Suite se utiliza en las funciones de gestión de API, como la publicación de las API, la configuración de la autenticación y la autorización, y el uso de la puerta de enlace de la API ofrecida en F5 NGINX Plus para formar la ruta de los datos. Los controles de seguridad se abordan en función de los requisitos de seguridad de la plataforma de entrega de datos y API.

1.      API para negocios altamente regulados

Las API empresariales que implican el intercambio de información sensible o regulada pueden requerir controles de gestión, información y seguridad para permitir el cumplimiento de normativas adicionales o mandatos del sector. Por ejemplo, las aplicaciones que entregan información sanitaria protegida o información financiera sensible deben cumplir las normas específicas del sector. La aplicación de políticas, el control de acceso auditable basado en roles, el análisis y la inspección de la carga útil a escala se convierten en mecanismos críticos para gestionar y proteger este tipo de API.

La combinación de la tecnología de advanced web application firewall (WAF) líder del sector para interfaces de aplicaciones con F5 NGINX Plus API Gateway y F5 NGINX App Protect Waf proporciona una protección superior del perímetro, la API y los microservicios para la disponibilidad y el rendimiento de misión crítica.

2.      API distribuidas en varias nubes

Las aplicaciones móviles que sirven a usuarios de todo el mundo necesitan backends geodistribuidos para proporcionar respuestas de API de baja latencia. Otros servicios de aplicación también pueden necesitar ser distribuidos, moviendo las cargas de trabajo de alta transacción más cerca de los consumidores o de los datos para mejorar el rendimiento. Para optimizar el tiempo de respuesta, necesitará una plataforma distribuida que orqueste la entrega de puntos de conexión de API desde múltiples ubicaciones para atender a su base de usuarios.

F5 NGINX Plus ofrece puerta de enlace de API agnóstica de la plataforma, equilibrio de carga y funciones de seguridad. Desplegado con F5 NGINX Management Suite API Connectivity Manager module, proporciona a los equipos de DevOps y AppDev una publicación de API eficiente, automatizada y segura a escala.

Para proporcionar una conectividad multi-cloud avanzada para sus entornos distribuidos, las soluciones de red multi-cloud de F5 Distributed Cloud separan los retos de infraestructura de red orientados a NetOps de la implementación de aplicaciones. Las DevOps pueden dejar de preocuparse por la superposición de direcciones IP y las complejas configuraciones de enrutamiento, y en su lugar centrarse en ofrecer una infraestructura lista para el desarrollo en un momento dado. Pruebe los casos de uso de F5 Distributed Cloud Services y la implementación de NGINX para resolver los desafíos del multi-cloud.

3.      Cargas de trabajo de API en Kubernetes

F5 NGINX Ingress Controller es un equilibrador de carga, caché, pasarela de API y WAF todo en uno para microservicios en Kubernetes. Combinado con el siempre gratuito F5 NGINX Service Mesh, los equipos de DevOps tienen el control del desarrollo y el despliegue de la API. NGINX Ingress Controller para NGINX Plus se integra completamente con NGINX App Protect en una configuración única y fácil de desplegar, reduciendo el coste y la complejidad de las aplicaciones de grado de producción. NGINX Service Mesh se utiliza para proporcionar visibilidad este-oeste y seguridad basada en mTLS para las cargas de trabajo.

NGINX Ingress Controller para NGINX Plus se integra con NGINX Service Mesh para obtener un plano de datos unificado con seguridad, funcionalidad y escala de grado de producción. Ligero y centrado en la gestión del tráfico de aplicaciones de capa 7 dentro de los clústeres, NGINX Service Mesh no es intrusivo, lo que permite que el resto de su stack tecnológico funcione sin complicaciones, como debe ser.

Conclusión

Las soluciones de F5 ofrecen, gestionan y protegen las API y la infraestructura utilizada para alojarlas, independientemente de su plataforma o arquitectura de automatización. F5 proporciona una sólida protección contra bots y exploits de API comunes y avanzados, con integración de DevOps para la publicación y visibilidad del rendimiento de la API. Combinadas, estas soluciones le ayudan a alcanzar su objetivo de portabilidad de las aplicaciones en cualquier lugar donde las despliegue, acercando las cargas de trabajo a sus clientes.

Proporcione a sus equipos de desarrollo y operaciones la agilidad necesaria para asistir a la empresa en la actualidad, ofreciéndoles la libertad de utilizar el entorno adecuado para el trabajo (ya sea alojado en la nube o en las instalaciones), y la versatilidad para asistir a la empresa en el futuro, con una portabilidad de la arquitectura que avanzará con usted.

Obtenga más información con el manual de F5 NGINX Real-Time API

Características principales

Definición y publicación de API: definir las API mediante una interfaz intuitiva
  • Definir la ruta base y los servicios backend
  • Enrutar las API a los servicios backend apropiados
  • Gestionar el versionado de las API
  • Importar las API que siguen los estándares de OpenAPI
  • Publicar las API en uno o varios entornos, como el de producción o de preparación
  • Configurar las puertas de enlace de API
  • Configurar las políticas de seguridad
  • Implementar y ejecutar en arquitecturas de microservicios
Limitación de velocidad: mitigar los ataques de DDoS y proteger las aplicaciones estableciendo límites de velocidad
  • Especificar la tasa de solicitud máxima para cada cliente, consumidor o recurso
  • Proteger los puntos de conexión de las API y garantizar los acuerdos de nivel de servicio para los consumidores de API
  • Definir múltiples políticas de limitación de velocidad
Supervisión y alertas en tiempo real: obtener información crítica sobre el rendimiento de las API
  • Gráficos de parámetros clave como la latencia y la duración de la respuesta
  • Parámetros específicos de la puerta de enlace, como las solicitudes por segundo, las conexiones activas y el uso del ancho de banda
  • Alertas sobre más de 100 parámetros, como el uso de CPU, los errores 4xx/5xx y los fallos de comprobación de estado, basadas en umbrales predefinidos
  • Fácil integración con cualquier herramienta de supervisión mediante API REST
Autenticación y autorización
  • Validar tokens web JSON (JWT)
  • Crear y gestionar claves de API para los clientes
  • Importar claves de API desde sistemas externos
  • Compartir con los clientes de las API
  • Aplicar políticas a grupos de clientes de API
Paneles de control: supervisar y solucionar rápidamente los problemas de las puertas de enlace de API
  • Un panel general que agrega los parámetros de todas las puertas de enlace de API
  • Una puntuación del estado de la aplicación que mide las solicitudes exitosas y las respuestas oportunas
  • Paneles personalizables para supervisar los parámetros específicos de su entorno

PRÓXIMOS PASOS

Contáctenos

Hable con un experto sobre los detalles técnicos y comience una prueba.

Póngase en contacto con F5