エンタープライズAPI管理の課題を理解する

アプリケーション開発は急速に進み、イノベーションが私たちの交流の在り方を変え続けています。分散型コンテナは複雑であるため、スピードを重視することで、時として、セキュリティとインフラストラクチャの制御におけるAPIの管理と強化が疎かになります。マイクロサービス間のデータ交換にAPIが使用されることが増えているため、残念なことに、APIが、機密データの漏洩につながる潜在的な脆弱性となりつつあります。これは、すべてのAPIエンドポイントに、少なくとも最低限の標準化されたリスク対策、構成、ポリシーの実施が必要であることを意味します。しかし、API公開の自動化により、ユーザーとの対話や監視といった従来の要素が排除されるため、APIの価値を高めるための動きが、同時にAPIをより脆弱にしているのです。

ほとんどのAPIゲートウェイには、大規模管理のための適切な制御機能が欠如しています。

APIゲートウェイは通常、プラットフォームやマイクロサービス クラスタへのAPIの公開を管理するために設計されています。使いやすさと自動化が採用の主な理由ですが、それはアプリケーション ポートフォリオの成長に合わせて、プラットフォームに依存せずに、API相互接続を拡張して顧客のトラフィック要求に応えることが難しいためです。このことが、特に注目を集めたAPIデータ流出の原因がAPIの設定ミスとセキュリティの不備にあった理由も説明しています。

DevOpsによって自動化パイプラインの数が増え、開発者やアプリケーションの要件を満たすために、それぞれ異なるツールが必要となります。こうしたシナリオでは、APIのトラフィック パターンと管理インスタンスが連携せず、可観測性ソリューションも連携していないため、さらに複雑になります。残念ながら、開発チームやDevOpsチームがリリース頻度を評価されることはあっても、リリースのセキュリティを評価されることはあまりありません。

その結果、企業はAPIの増加を管理することに大規模に失敗し、未承認のAPIが使用されることで意図しない新たなリスクと漏洩が発生します。APIのセキュリティに関するOWASP Top 10では、これらが頻繁に発生している脅威に挙げられています。

また、APIは大規模なトラフィックを管理する際にパフォーマンスの問題に直面します。トランザクションの50～100ミリ秒の遅延は、アプリケーションの最初のロールアウト時には許容されるかもしれませんが、顧客の需要に応じてスケーリングする何百、何千ものマイクロサービスでは、これらの遅延が積み重なってアプリケーション チェーン全体が遅くなります。その結果、パフォーマンスが低下し、顧客の期待が裏切られることになります。

初期開発から本番導入まで、エンタープライズ アプリケーション ポートフォリオ全体でAPIエンドポイントへのアクセス、設定、セキュリティを自動化することで、DevOpsはパフォーマンスと潜在的な脆弱性に大規模に対処できるようになり、他の自動化パイプラインの問題に専念できます。

マイクロサービスAPI環境における制御の一貫性の欠如

クラウドネイティブなアプリケーションは、設計上、分散化と非集中化がますます進み、数千とは言わないまでも数百のAPIベースのエンドポイントに依存し、主要なトラフィック ソースとなるトランザクションは数百万に及びます。F5 Labsの最近の調査によると、APIセキュリティ インシデントの数は年々増加しており、過去2年間で最も頻繁に発生したAPIインシデントは、その原因がセキュリティ成熟度の低さに関係し、多くの場合、ツールの乱立が原因だったことがわかっています。

複数の開発チームが複数のプラットフォームで分散型アプリケーションの異なる部分を担当する場合、API管理が複雑になり、結果としてアプリケーションの安全性とパフォーマンスが低下します。導入の失敗、パフォーマンスの低下、機密性の高いトラフィックへの悪意のあるアクセスなどが問題となり、その場合、原因を特定することはおろか、修正することも困難です。この複雑さを大幅に抑えることで、リスクを減らし、ビジネス目標に合わせて最適化された設定、パフォーマンス、セキュリティの一貫した一連のポリシーを提供することができます。APIの開発と管理プロセスの適切な制御を自動化するための標準的なツールセットをDevOpsが持つことで、アプリケーションをビジネスとともに成長させることが可能になります。

API管理/公開の一般的な使用事例

以下のすべてのソリューションにおいて、F5 NGINX ControllerはAPI管理機能に使用されています。こうした機能には、APIの公開、認証と承認の設定、F5 NGINX Plusで提供されるAPIゲートウェイを使用したデータ パスの構築などがあります。セキュリティ管理は、データおよびAPIデリバリ プラットフォームのセキュリティ要件に基づいて行われます。

1. 規制の厳しいビジネスのためのAPI

機密情報や規制情報の交換を伴うビジネスAPIでは、追加の規制や業界の義務に準拠するための管理、報告、セキュリティ管理が必要になる場合があります。例えば、保護対象の医療情報や機密性の高い金融情報を提供するアプリケーションは、業界固有の基準を満たす必要があります。ポリシーの実施、監査可能なロールベースのアクセス制御、分析、大規模なペイロード検査は、こうしたAPIを管理し、保護するための重要なメカニズムになります。

アプリケーション インターフェースのための業界をリードするAdvanced Web Application Firewall（WAF）技術と、F5 NGINX Plus APIゲートウェイおよびF5 NGINX App Protectを組み合わせることにより、境界、API、マイクロサービスの保護を強化し、ミッション クリティカルな可用性とパフォーマンスを実現します。

2. マルチクラウド分散型API

世界中のユーザーにサービスを提供するモバイル アプリケーションでは、低レイテンシのAPIレスポンスを提供するために地理的に分散されたバックエンドが必要です。その他のアプリケーション サービスも分散させて、大量のトランザクション ワークロードをコンシューマやデータの近くに移動してパフォーマンスを向上させる必要がある場合があります。レスポンス タイムを最適化するには、ユーザー ベースにサービスを提供するために、複数の場所からAPIエンドポイントのデリバリをオーケストレーションする分散型プラットフォームが必要です。

F5 NGINX Plusは、プラットフォームに依存しないAPIゲートウェイ、ロードバランシング、セキュリティ機能を提供します。F5 NGINX Controller API管理モジュールと一緒に導入することで、DevOpsチームとAppDevチームは、高性能、安全、かつ大規模にAPIを自動公開できます。

F5 Distributed Cloudマルチクラウド ネットワーキング ソリューションは、分散環境に高度なマルチクラウド接続を提供するために、NetOpsをターゲットとしたネットワーク インフラストラクチャの課題をアプリケーションの導入から切り離します。DevOpsは、IPアドレスの重複や複雑なルーティングの設定から解放され、開発準備の整ったインフラストラクチャを瞬時に提供することに集中できます。マルチクラウドの課題を解決するために、F5のDistributed Cloud ServicesとNGINXの導入の使用事例をお試しください。

3. KubernetesにおけるAPIワークロード

F5 NGINX Ingress Controllerは、Kubernetesのマイクロサービス向けのロードバランサー、キャッシュ、APIゲートウェイ、WAFをオールインワンで提供する製品です。常に無料のF5 NGINX Service Meshと組み合わせることで、DevOpsはAPIの開発と導入を管理できます。NGINX Ingress Controller for NGINX Plusは、導入しやすい単一構成でNGINX App Protectとと完全に統合されており、本番グレードのアプリケーションのコストと複雑さを軽減します。NGINX Service Meshは、ワークロードの東西の可視性とmTLSベースのセキュリティを提供するために使用されます。

NGINX Ingress Controller for NGINX Plusは、NGINX Service Meshと統合され、本番グレードのセキュリティ、機能性、規模を備えた統合データ プレーンを実現します。NGINX Service Meshは軽量で、クラスタ内のレイヤ7のアプリケーション トラフィック管理に特化しており、ユーザーの負担にならず、その他の技術スタックが複雑になることなく、そのまま実行することができます。