A expansão descontrolada de APIs é o crescimento acelerado e a multiplicação de APIs dentro de uma organização, causada tanto pelo aumento exponencial das APIs em arquiteturas de TI modernas quanto pelo uso delas em ambientes digitais distribuídos globalmente. Juntas, essa explosão de APIs traz um desafio crescente: À medida que você cria e implanta mais APIs, frequentemente sem uma estratégia unificada ou controle central, torna-se cada vez mais difícil gerenciar tudo com eficiência. Você precisa de um processo de governança de APIs e ferramentas que ajudem a enfrentar os importantes desafios operacionais e de segurança que essa expansão traz para organizações como a sua.
Por que a proliferação de APIs virou um problema? A adoção generalizada de arquiteturas modernas baseadas em microsserviços contribuiu muito para o crescimento das APIs, que funcionam como o elo que conecta os serviços e componentes modulares que formam as aplicações atuais. As APIs simplificam e aceleram os ciclos de desenvolvimento, permitindo que você integre facilmente dados existentes, reutilize funcionalidades ou conecte-se a serviços de terceiros, em vez de criar tudo do zero.
Além disso, com 94% das organizações implementando aplicações em vários ambientes, as APIs conectam muitos desses serviços e conjuntos de dados distintos através de plataformas e locais diversos. Essa fragmentação dificulta cada vez mais garantir a qualidade, visibilidade e segurança uniformes das APIs. Manter um inventário de APIs completo e atualizado se tornou um desafio complexo para muitas organizações.
Este artigo do blog aprofunda os conceitos de governança de APIs. Continue lendo para entender o que é governança de APIs e como ela se diferencia do gerenciamento e da segurança de APIs. Você também conhecerá os três modelos de governança de APIs e vai explorar estratégias recomendadas.
Governança de API abrange o conjunto de políticas e padrões que definem como você projeta, constrói, protege, monitora e mantém APIs. Nosso objetivo na governança de API é garantir qualidade, consistência, segurança e conformidade regulatória das APIs. Atuamos em todos os tipos de APIs, incluindo as desenvolvidas internamente e as de terceiros, fornecidas por parceiros ou fornecedores.
Além disso, à medida que mais empresas adotam estratégias modernas API-first, onde o desenvolvimento das aplicações começa pelos serviços e APIs, a governança se torna ainda mais essencial para garantir que consistência, segurança e conformidade estejam integradas à aplicação desde o nível da API.
O processo de governança da API deve cobrir todo o ciclo de vida da API e incluir as seguintes áreas:
Governança, gerenciamento e segurança de API são áreas distintas, porém estreitamente conectadas, e devemos implementar primeiro a governança para garantir a implantação consistente das práticas de gerenciamento e segurança de API.
Gerenciamento de API consiste na aplicação de políticas de governança de API utilizando ferramentas como portal do desenvolvedor, gateway de API e software para gerenciamento do ciclo de vida da API. Somos capazes de integrar essas ferramentas em uma plataforma de gerenciamento de API. As políticas de governança definem os requisitos das ferramentas — por exemplo, padronizando as plataformas entre equipes — e as práticas operacionais, como o gerenciamento de chaves de API e credenciais.
Segurança de API aplica os requisitos de segurança e conformidade definidos pelas políticas de governança de API. Embora algumas organizações utilizem ferramentas específicas de segurança para API, cresce o uso de soluções de proteção para APIs e aplicações web (WAAP) para oferecer proteção integrada e mais ampla. As políticas de governança definem os requisitos mínimos de segurança para APIs, incluindo os controles essenciais e orientações de configuração, indicando como gateways de API, WAFs e/ou soluções de proteção de API devem defender contra ataques em todos os vetores de ameaça. Isso inclui as listas OWASP Top 10 para aplicações web, APIs e ameaças automatizadas, além de reforçar as melhores práticas de higiene de API, como evitar o uso de chaves de API codificadas ou incorporadas no código fonte das bibliotecas cliente.
Existem três tipos de modelos de governança de API: centralizado, descentralizado e adaptativa:
A governança centralizada fica a cargo de uma equipe central que define, revisa e aprova todas as políticas de governança. Essa abordagem traz vantagens: permite aplicar políticas de governança rígidas e garante consistência em toda a organização. Mas uma abordagem rígida e igual para todos nem sempre funciona; ela pode atrasar as equipes de desenvolvimento, incentivar soluções alternativas e fomentar a "TI paralela".
A governança descentralizada concede autonomia a cada equipe para gerenciar suas próprias políticas de governança de API. Essa abordagem acelera o desenvolvimento e oferece flexibilidade alinhada às necessidades específicas de cada equipe. Por outro lado, a descentralização pode gerar políticas e controles de API inconsistentes pela organização, causando desafios de integração, erros de configuração e lacunas na conformidade.
Governança adaptativa equilibra os dois modelos mencionados. Uma equipe central define políticas globais e gerencia a infraestrutura compartilhada, enquanto as equipes de desenvolvimento têm autonomia para criar políticas locais alinhadas às necessidades específicas de suas aplicações e APIs. Isso inclui requisitos de conformidade regionais, governamentais ou de setores específicos. Na maioria dos casos, a governança adaptativa oferece o melhor dos dois mundos, criando distinções claras entre políticas universais e áreas com flexibilidade quando necessária.
A F5 oferece soluções de gerenciamento e segurança de API em todo o ciclo de vida da API, como parte da Plataforma de Entrega e Segurança de Aplicações (ADSP) da F5. A plataforma oferece entrega de API completa, combinando descoberta total, monitoramento contínuo e detecção, além de controles de segurança para aplicar políticas essenciais que garantem o comportamento correto das APIs e as protegem contra ataques. Tudo isso acontece em uma plataforma centralizada que proporciona visibilidade e gerenciamento de políticas em diversos ambientes de TI.