• Share via AddThis

PRÉSENTATION DE LA SOLUTION

Meilleures pratiques et solutions pour la gestion des API

Laissez les développeurs aux commandes grâce aux solutions rapides, sûres et évolutives de gestion et de passerelle API de F5

illustration solutions-gestion-api

Les API sont un composant fondamental du développement d’applications conteneurisées et natives dans le cloud. En permettant aux équipes opérationnelles de travailler ensemble, les API peuvent accélérer la mise sur le marché du développement d’applications et vous aider à offrir de meilleures expériences utilisateur que vos concurrents. En revanche, l’utilisation des API a décentralisé la structure des applications. Cet aspect complique la conception, la publication et la gestion des API, et engendre un défi de gestion complexe et risqué. Sans contrôles automatisés et performants du trafic et des politiques, la croissance et la complexité des API ralentissent l’agilité des développeurs.

F5 propose une solution complète permettant de gérer en toute sécurité les API dans n’importe quel centre de données ou cloud en s’appuyant sur une architecture simple, rapide et évolutive. Cela contribue à réduire les délais de mise sur le marché en permettant l’automatisation des déploiements et de la gestion des API, tout en assurant une protection contre les menaces spécifiques aux API. F5 fournit une gestion des API natives dans le cloud, des passerelles API haute performance et des contrôles de sécurité dans une seule et même solution, réduisant ainsi la prolifération des outils et la complexité architecturale.

Principaux avantages

Sécurité centrée sur l’API

Protection contre les vulnérabilités communes et avancées propres aux API, que les passerelles d’API ne peuvent offrir

Architectures API de microservices natives dans le cloud

Intégration transparente dans pratiquement tous les types de déploiement ou d’architecture : proxy en périphérie, Kubernetes, passerelles Ingress, sans serveur, etc.

Solutions intégrées de livraison d’API

Amélioration de l’efficacité opérationnelle grâce à une sécurité et une passerelle intégrées

Adaptées aux professionnels DevOps/AppDev

Sécurité, automatisation et gestion de la configuration aussi agiles que vos équipes DevOps, ce qui permet d’accélérer la mise sur le marché à moindre coût

Comprendre les défis de la gestion des API d’entreprise

Le développement d’applications évolue rapidement et l’innovation modifie en continu nos interactions. En raison de la complexité des conteneurs distribués, cet accent mis sur la rapidité entraîne parfois une résistance à la gestion des API et à l’application des contrôles de sécurité et d’infrastructure. Malheureusement, comme les API sont de plus en plus utilisées pour l’échange de données entre microservices, elles deviennent une vulnérabilité potentielle susceptible d’exposer des données sensibles. Pour cette raison, tous les points d’accès des API doivent disposer d’un minimum de risque normalisé, de configuration et d’application de politiques ; cependant, comme l’automatisation de la publication des API supprime les éléments traditionnels d’interaction et de surveillance des utilisateurs, les mêmes tendances qui font des API des ressources précieuses, les rendent également plus vulnérables.

La plupart des passerelles API ne disposent pas de contrôles adéquats pour la gestion à l’échelle

Les passerelles d’API sont généralement conçues pour gérer la publication des API sur une plateforme ou sur des clusters de microservices. La facilité d’utilisation et l’automatisation sont les principaux facteurs d’adoption, car il est difficile de faire évoluer l’interconnexion des API pour répondre aux demandes de trafic des clients à mesure que votre portefeuille d’applications se développe, tout en restant agnostique vis-à-vis des plateformes. C’est la raison pour laquelle les erreurs de configurations et les failles de sécurité des API ont été à l’origine de certaines des violations de données d’API les plus médiatisées.

Les DevOps sont responsables d’un nombre croissant de pipelines d’automatisation, chacun nécessitant différents outils pour satisfaire les exigences des développeurs et des applications. Ces scénarios génèrent des modèles de trafic d’API et des instances de gestion déconnectés, un problème qui se complique encore davantage dans le cas des solutions d’observabilité déconnectées. Malheureusement, il est encore fréquent que les équipes de développement et DevOps soient évaluées sur leur fréquence de publication, mais pas sur la sécurité de leurs publications.

Il en résulte des échecs de gestion de la croissance des API d’entreprise à l’échelle, qui à leur tour engendre des risques nouveaux et involontaires, ainsi qu’une exposition, découlant d’une utilisation non autorisée des API : certaines des menaces les plus courantes selon le Top 10 de la sécurité des API de l’OWASP.

Les API rencontrent également des problèmes de performance lorsqu’elles gèrent le trafic à grande échelle. Un retard de transaction de 50 à 100 millisecondes peut être acceptable pour le déploiement initial d’une application, mais lorsqu’il est multiplié par des centaines ou des milliers de microservices qui évoluent pour répondre à la demande des clients, ces retards s’accumulent et ralentissent toute la chaîne applicative. Le résultat ? Des performances médiocres et des clients déçus.

L’automatisation de l’accès, de la configuration et de la sécurité des points d’accès des API dans l’ensemble du portefeuille d’applications de l’entreprise, du développement initial au déploiement en production, permettra aux DevOps de traiter les performances et les vulnérabilités potentielles à l’échelle, afin qu’ils puissent se concentrer sur d’autres problèmes du pipeline d’automatisation.

Contrôles incohérents dans les environnements d’API de microservices

Les applications natives dans le cloud sont de plus en plus distribuées et décentralisées de par leur conception : elles s’appuient sur des centaines, voire des milliers, de points d’accès d’API, avec des millions de transactions comme principale source de trafic. Une étude récente de F5 Labs montre que le nombre d’incidents de sécurité liés aux API augmente chaque année et que les causes les plus fréquentes de ces incidents au cours des deux dernières années sont liées à un faible niveau de maturité en matière de sécurité, souvent causé par la prolifération des outils.

Lorsque différentes équipes de développement travaillent sur différentes parties d’applications distribuées sur plusieurs plateformes, cela génère une complexité de gestion des API qui se traduit par des applications non sécurisées et peu performantes. Les problèmes peuvent provenir d’échecs de déploiement, d’une dégradation des performances ou d’un accès malveillant au trafic sensible, et il est difficile de remédier à la situation, et encore moins d’en déterminer la cause. La réduction de cette complexité à l’échelle minimise les risques et fournit un ensemble cohérent de politiques de configuration, de performances et de sécurité optimisées en fonction de vos objectifs commerciaux. En fournissant aux DevOps un ensemble d’outils standard permettant d’automatiser les contrôles appropriés dans les processus de développement et de gestion des API, vous offrez à vos applications la possibilité de se développer en même temps que votre activité.

Solution

Les entreprises doivent maintenir et faire évoluer leurs API traditionnelles, tout en en développant de nouvelles à l’aide d’architectures de microservices natives dans le cloud. Il est possible de les livrer soit par des systèmes privés dédiés (bare-metal), soit depuis le cloud, ou encore par des solutions de transit multicloud. Les API sont difficiles à catégoriser car elles servent à offrir tout un éventail d’expériences aux utilisateurs, chacune d’entre elles nécessitant potentiellement un ensemble différent de contrôles de développement, de publication et de sécurité. La flexibilité des solutions F5 NGINX permet de répondre à plusieurs cas d’utilisation ou modèles architecturaux différents afin de satisfaire les exigences de toute équipe de développement.

Dans son rapport sur les tendances du marché du cloud, Futuriom indique que « les API ont été un composant essentiel de la virtualisation des centres de données et du SD-WAN, et elles deviendront d’autant plus indispensables pour la connexion des réseaux multicloud. »

Cas d’utilisation courants de gestion et de publication des API

Dans toutes les solutions décrites ci-dessous, le NGINX Controller de F5 est utilisé pour les fonctions de gestion des API telles que la publication des API, la mise en place de l’authentification et de l’autorisation, ainsi que l’utilisation de passerelle API intégrée au F5 NGINX Plus pour façonner le chemin des données. Les contrôles de sécurité sont traités en fonction des exigences de sécurité de la plateforme de livraison des données et des API.

1.      Les API dans les activités hautement réglementées

Les API métier qui impliquent l’échange d’informations sensibles ou réglementées peuvent nécessiter des contrôles de gestion, de reporting et de sécurité pour se conformer à d’autres réglementations locales et/ou aux mandats du secteur. Par exemple, les applications délivrant des informations de santé protégées ou des informations financières sensibles doivent respecter des normes spécifiques au secteur. L’application de politiques, le contrôle d’accès vérifiable basé sur les rôles, l’analyse et l’inspection des charges utiles à l’échelle deviennent des mécanismes essentiels à la gestion et à la protection ce type d’API.

La combinaison de la technologie avancée de Pare-feu d’application web (WAF) pour les interfaces d’application avec la passerelle API F5 NGINX Plus et F5 NGINX App Protect offre une protection supérieure du périmètre, des API et des microservices pour une disponibilité et des performances stratégiques.

2.      Les API distribuées dans le multicloud

Les applications mobiles au service des utilisateurs du monde entier ont besoin de back-ends géodistribués capables de fournir des réponses aux API avec une faible latence. D’autres services applicatifs peuvent également avoir besoin d’être distribués, en rapprochant les charges de travail liées aux transactions élevées des consommateurs ou des données afin d’améliorer les performances. Pour optimiser le temps de réponse, il vous faut une plateforme distribuée permettant d’orchestrer la livraison des points d’accès d’API à partir de plusieurs emplacements pour servir votre base d’utilisateurs.

Le F5 NGINX Plus offre des fonctions de passerelle API, d’équilibrage de charge et de sécurité indépendantes de la plateforme. Déployé avec le NGINX Controller API Management Module de F5, il permet aux équipes DevOps et AppDev de publier des API de manière performante, automatisée et sécurisée à l’échelle.

Pour fournir une connectivité multicloud avancée à vos environnements distribués, les solutions de mise en réseau multicloud F5 Distributed Cloud séparent les défis de l’infrastructure du réseau ciblée par les NetOps du déploiement des applications. Les DevOps n’ont plus à se soucier du chevauchement des adresses IP et des configurations de routage complexes, et peuvent se concentrer sur la fourniture d’une infrastructure prête pour le développement à tout moment. Testez les cas d’utilisation des Distributed Cloud Services et du déploiement de NGINX de F5 pour résoudre vos problèmes liés au multicloud.

3.      Charges de travail d’API dans Kubernetes

F5 NGINX Ingress Controller est un équilibreur de charge, un cache, une passerelle API et un WAF tout-en-un destiné aux microservices dans Kubernetes. Associé à la solution toujours gratuite de maillage de services F5 NGINX Service Mesh, le DevOps contrôle le développement et le déploiement des API. NGINX Ingress Controller pour NGINX Plus s’intègre totalement à NGINX App Protect dans une configuration unique et facile à déployer, réduisant ainsi le coût et la complexité des applications de production. NGINX Service Mesh offre une visibilité est-ouest et une sécurité basée sur mTLS pour les charges de travail.

NGINX Ingress Controller pour NGINX Plus s’intègre à NGINX Service Mesh pour offrir un plan de données unifié doté d’une sécurité, de fonctionnalités et d’une évolutivité de niveau production. Léger et axé sur la gestion du trafic applicatif de couche 7 au sein des clusters, NGINX Service Mesh est non intrusif, ce qui permet au reste de votre pile technologique de fonctionner sans complications, comme il se doit.

Conclusion

Les solutions de F5 fournissent, gèrent et sécurisent les API et l’infrastructure utilisée pour les héberger, quelle que soit votre plateforme ou votre architecture d’automatisation. F5 garantit une protection solide contre les robots et les exploits d’API courants et avancés, avec une intégration DevOps pour la publication et la visibilité des performances des API. L’association de ces solutions vous permet d’atteindre votre objectif de portabilité des applications partout où vous les déployez, rapprochant ainsi les charges de travail de vos clients.

Donnez à vos équipes de développement et d’exploitation l’agilité nécessaire pour contribuer à l’entreprise aujourd’hui en leur offrant la liberté d’utiliser l’environnement le plus adapté à leur travail, qu’il soit hébergé dans le cloud ou sur site, et la polyvalence nécessaire pour soutenir l’entreprise à l’avenir, grâce à la portabilité de l’architecture qui évolue en même temps que vous.

Pour en savoir plus, consultez le manuel sur l’API en temps réel de F5 NGINX

Caractéristiques principales

Définition et publication d’API : définissez des API à l’aide d’une interface intuitive
  • Définition du chemin de base et des services dorsaux (back-end)
  • Acheminement des API vers les services dorsaux correspondants
  • Gestion des versions des API
  • Importation des API qui suivent les normes OpenAPI
  • Publication d’API dans un ou plusieurs environnements, tels que la production ou le stockage
  • Configuration de passerelles API
  • Configuration de politiques de sécurité
  • Déploiement et exécution dans des architectures de microservices
Limitation du débit : atténuez les attaques DDoS et protégez vos applications en fixant des limites de débit
  • Spécification du taux de demande maximum pour chaque client, consommateur ou ressource
  • Protection des points d’accès d’API et garantie des accords de niveau de service pour les consommateurs d’API
  • Définition de plusieurs politiques de limitation de débit
Surveillance et alertes en temps réel : obtenez des informations essentielles sur les performances des API
  • Graphiques des principaux indicateurs de mesure tels que la latence et la durée de réponse
  • Indicateurs spécifiques aux passerelles, telles que les demandes par seconde, les connexions actives et l’utilisation de la bande passante
  • Alertes sur plus de 100 paramètres tels que l’utilisation du processeur, les erreurs 4xx/5xx et les échecs de bilans de santé en fonction de seuils prédéfinis
  • Intégration simple avec l’outil de surveillance de votre choix grâce à l’API REST
Authentification et autorisation
  • Validation des jetons Web JSON (JWT)
  • Création et gestion des clés API pour les consommateurs
  • Importation de clés API depuis des systèmes externes
  • Partage avec les consommateurs d’API
  • Application des politiques à des groupes de clients API
Tableaux de bord : surveillez et dépannez rapidement les passerelles API
  • Un tableau de bord général qui regroupe les indicateurs de mesure de toutes les passerelles API
  • Un score d’état de santé des applications qui mesure le succès des requêtes et la rapidité des réponses
  • Tableaux de bord personnalisables permettant de contrôler les paramètres spécifiques à votre environnement

Étapes suivantes

Nous contacter

Parlez à un expert pour avoir des détails techniques et commencer un essai.

Contacter F5