VISÃO GERAL DA SOLUÇÃO

Melhores práticas e soluções de gerenciamento de API

Mantenha os desenvolvedores no comando com soluções de gerenciamento e gateway de API rápidas, seguras e escaláveis da F5

ilustração de soluções de gerenciamento de API

As APIs são um componente fundamental do desenvolvimento de aplicativos nativos da nuvem e em contêineres. Ao permitir que as equipes operacionais trabalhem coletivamente, as APIs podem acelerar o tempo de lançamento de aplicativos no mercado e ajudar você a oferecer melhores experiências ao usuário do que seus concorrentes. Por outro lado, o uso de APIs descentralizou a estrutura dos aplicativos. Isso torna o design, a publicação e o gerenciamento de APIs mais difíceis, o que, por sua vez, cria um desafio de gerenciamento complexo e sujeito a riscos. Sem controles de tráfego e políticas automatizados e de alto desempenho, o crescimento e a complexidade da API diminuirão a agilidade do desenvolvedor.

A F5 oferece uma solução abrangente para gerenciar APIs com segurança em qualquer data center ou nuvem usando uma arquitetura simples, rápida e escalável. Isso ajuda a melhorar o tempo de colocação no mercado ao permitir a automação de implantações e gerenciamento de API, além de proteger contra ameaças específicas de API. A F5 fornece gerenciamento de API nativo em nuvem, gateways de API de alto desempenho e controles de segurança, tudo em uma única solução, reduzindo a proliferação de ferramentas e a complexidade arquitetônica.

Principais benefícios

Segurança centrada em API

Proteção contra vulnerabilidades comuns e avançadas específicas de API que os gateways de API não podem fornecer

Arquiteturas de API de microsserviços nativas da nuvem

Integração perfeita em praticamente qualquer design ou arquitetura de implantação — proxy de borda, Kubernetes, gateways de entrada, sem servidor e muito mais

Soluções integradas de entrega de API

Eficiência operacional aprimorada com segurança e gateway integrados

DevOps/AppDev amigável

Segurança, automação e gerenciamento de configuração tão ágeis quanto suas equipes de DevOps, acelerando o tempo de colocação no mercado a um custo reduzido

Entendendo os desafios do Enterprise API Management

O desenvolvimento de aplicativos avança rapidamente e a inovação muda continuamente a face de nossas interações. Devido às complexidades dos contêineres distribuídos, essa ênfase na velocidade às vezes leva à resistência ao gerenciamento de API e à aplicação de controles de segurança e infraestrutura. Infelizmente, como as APIs são cada vez mais consumidas pela troca de dados entre microsserviços, elas estão se tornando uma vulnerabilidade potencial que pode expor dados confidenciais. Isso significa que todos os endpoints de API devem ter pelo menos um grau mínimo de risco padronizado, configuração e aplicação de políticas; no entanto, como a automação da publicação de API remove elementos tradicionais de interação e supervisão do usuário, as mesmas tendências que tornam as APIs mais valiosas também as tornam mais vulneráveis.

A maioria dos gateways de API não possui controles adequados para gerenciamento em escala

Os gateways de API geralmente são projetados para gerenciar a publicação de APIs em uma plataforma ou em clusters de microsserviços; facilidade de uso e automação são os principais motivadores para adoção porque é difícil dimensionar a interconectividade de API para atender às demandas de tráfego do cliente à medida que seu portfólio de aplicativos cresce, permanecendo independente de plataforma. Isso explica por que configurações incorretas de API e falhas de segurança foram a causa de algumas das violações de dados de API de maior visibilidade .

O DevOps é responsável por um número cada vez maior de pipelines de automação, cada um exigindo ferramentas diferentes para atender aos requisitos do desenvolvedor e do aplicativo. Esses cenários criam padrões de tráfego de API desconectados e instâncias de gerenciamento, ainda mais complicados por soluções de observabilidade desconectadas.  Infelizmente, ainda é comum que equipes de desenvolvimento e DevOps sejam avaliadas pela frequência de lançamentos, mas não pela segurança dos lançamentos.

O resultado são falhas no gerenciamento do crescimento da API corporativa em escala, criando riscos e exposições novos e não intencionais devido ao uso não autorizado da API — algumas das ameaças mais comuns de acordo com o API Security Top 10 da OWASP .

As APIs também encontram problemas de desempenho ao gerenciar tráfego em escala. Um atraso de transação de 50 a 100 milissegundos pode ser aceitável para o lançamento inicial de um aplicativo, mas quando multiplicado por centenas ou milhares de microsserviços dimensionados para atender à demanda do cliente, esses atrasos se somam e tornam lenta toda a cadeia do aplicativo. O resultado? Baixo desempenho e expectativas do cliente frustradas.

Automatizar o acesso, a configuração e a segurança do endpoint da API em todo o portfólio de aplicativos corporativos, do desenvolvimento inicial à implantação da produção, permitirá que o DevOps aborde o desempenho e as vulnerabilidades potenciais em escala para que possam se concentrar em outros problemas do pipeline de automação. 

Controles inconsistentes em ambientes de API de microsserviços

Os aplicativos nativos da nuvem são cada vez mais distribuídos e descentralizados por design, contando com centenas, se não milhares, de terminais baseados em API, com milhões de transações como a principal fonte de tráfego. Uma pesquisa recente do F5 Labs mostra que o número de incidentes de segurança de API cresce a cada ano e que as causas mais frequentes de incidentes de API nos últimos dois anos estão relacionadas a baixos níveis de maturidade de segurança, geralmente causados pela proliferação de ferramentas.

Quando diferentes equipes de desenvolvimento trabalham em diferentes partes de aplicativos distribuídos em diversas plataformas, isso cria uma complexidade no gerenciamento de APIs que resulta em aplicativos inseguros e de baixo desempenho. Problemas podem surgir de falhas de implantação, desempenho degradado ou acesso malicioso a tráfego sensível, e é difícil remediar, muito menos identificar, a causa. Reduzir essa complexidade em escala reduz riscos e fornece um conjunto consistente de políticas de configuração, desempenho e segurança otimizadas em torno de seus objetivos de negócios. Fornecer ao DevOps um conjunto padrão de ferramentas para automatizar os controles corretos nos processos de desenvolvimento e gerenciamento de API permite que seus aplicativos cresçam junto com seu negócio.

Solução

As empresas precisam manter e evoluir suas APIs tradicionais e, ao mesmo tempo, desenvolver novas usando arquiteturas de microsserviços nativas da nuvem. Eles podem ser entregues com sistemas privados bare metal, da nuvem ou por meio de soluções de trânsito multinuvem. As APIs são difíceis de categorizar, pois são usadas para fornecer uma variedade de experiências ao usuário, cada uma delas potencialmente exigindo um conjunto diferente de controles de desenvolvimento, publicação e segurança. A flexibilidade das soluções F5 NGINX pode abordar diversos casos de uso ou padrões arquitetônicos para atender aos requisitos de qualquer equipe de desenvolvimento.


Em seu Relatório de Tendências do Mercado de Nuvem, a Futuriom relata que “as APIs têm sido um elemento crucial da virtualização de data centers e SD-WAN, e se tornarão cada vez mais importantes para conectar redes multi-nuvem”.

Casos de uso comuns de gerenciamento e publicação de API

Em todas as soluções descritas abaixo, o F5 NGINX Management Suite é usado para funções de gerenciamento de API, como publicação de APIs , configuração de autenticação e autorização e uso do gateway de API oferecido no F5 NGINX Plus para formar o caminho de dados. Os controles de segurança são abordados com base nos requisitos de segurança da plataforma de entrega de dados e API.

  1. APIs para negócios altamente regulamentados

    APIs empresariais que envolvem a troca de informações confidenciais ou regulamentadas podem exigir controles de gerenciamento, relatórios e segurança para permitir a conformidade com regulamentações adicionais ou mandatos do setor. Por exemplo, aplicativos que fornecem informações de saúde protegidas ou informações financeiras confidenciais devem atender a padrões específicos do setor. A aplicação de políticas, o controle de acesso auditável baseado em funções, a análise e a inspeção de carga útil em escala tornam-se mecanismos essenciais para gerenciar e proteger esse tipo de API.

    Combinando a tecnologia avançada de firewall de aplicativo da Web (WAF) líder do setor para interfaces de aplicativo com o F5 NGINX Plus API Gateway e o F5 NGINX App Protect WAF, fornece proteção superior de perímetro, API e microsserviços para disponibilidade e desempenho de missão crítica.

  2. APIs distribuídas em várias nuvens

    Aplicativos móveis que atendem usuários ao redor do mundo precisam de backends geodistribuídos para fornecer respostas de API de baixa latência. Outros serviços de aplicativos também podem precisar ser distribuídos, movendo altas cargas de trabalho de transações para mais perto dos consumidores ou dos dados para melhorar o desempenho. Para otimizar o tempo de resposta, você precisará de uma plataforma distribuída para orquestrar a entrega de endpoints de API de vários locais para atender sua base de usuários. 

    O F5 NGINX Plus oferece gateway de API independente de plataforma, balanceamento de carga e recursos de segurança. Implantado com o módulo F5 NGINX Management Suite API Connectivity Manager , ele fornece às equipes de DevOps e AppDev publicação de API de alto desempenho, automatizada e segura em escala.

    Para fornecer conectividade multi-nuvem avançada para seus ambientes distribuídos, as soluções de rede multi-nuvem da F5 Distributed Cloud separam os desafios de infraestrutura de rede direcionados ao NetOps da implantação de aplicativos. O DevOps pode parar de se preocupar com sobreposição de endereços IP e configurações complexas de roteamento e, em vez disso, se concentrar em fornecer infraestrutura pronta para desenvolvimento a qualquer momento. Faça um teste dos casos de uso de implantação de NGINX e Serviços de Nuvem Distribuída da F5 para resolver seus desafios de multinuvem.

  3. Cargas de trabalho de API no Kubernetes

    O F5 NGINX Ingress Controller é um balanceador de carga, cache, gateway de API e WAF completo para microsserviços no Kubernetes . Combinado com o F5 NGINX Service Mesh sempre gratuito, o DevOps controla o desenvolvimento e a implantação da API. O NGINX Ingress Controller para NGINX Plus integra-se totalmente ao NGINX App Protect em uma configuração única e fácil de implantar, reduzindo o custo e a complexidade de aplicativos de nível de produção. O NGINX Service Mesh é usado para fornecer visibilidade leste-oeste e segurança baseada em mTLS para cargas de trabalho.

    O NGINX Ingress Controller para NGINX Plus integra-se ao NGINX Service Mesh para um plano de dados unificado com segurança, funcionalidade e escala de nível de produção. Leve e focado no gerenciamento de tráfego de aplicativos da Camada 7 dentro de clusters, o NGINX Service Mesh não é intrusivo, permitindo que o restante da sua pilha de tecnologia funcione sem complicações, como deveria ser.

Conclusão

As soluções da F5 entregam, gerenciam e protegem APIs e a infraestrutura usada para hospedá-las, independentemente da sua plataforma ou arquitetura de automação. O F5 oferece forte proteção contra bots e explorações de API comuns e avançadas, com integração DevOps para publicação e visibilidade do desempenho da API. Combinadas, essas soluções ajudam você a atingir sua meta de portabilidade de aplicativos em qualquer lugar que você implementar, aproximando as cargas de trabalho dos seus clientes.

Dê às suas equipes de desenvolvimento e operações a agilidade necessária para dar suporte aos negócios agora, oferecendo a elas a liberdade de usar o ambiente certo para o trabalho, seja hospedado na nuvem ou no local, e a versatilidade para dar suporte aos negócios no futuro, com portabilidade de arquitetura que se move junto com você.

Saiba mais com o Manual da API em tempo real F5 NGINX

Principais Características

Definição e publicação de API — defina APIs usando uma interface intuitiva

  • Definir caminho base e serviços de backend
  • Rotear APIs para serviços de backend apropriados
  • Gerenciar versões de APIs
  • Importar APIs que seguem os padrões OpenAPI
  • Publicar APIs em um ou mais ambientes, como produção ou preparação
  • Configurar gateways de API
  • Configurar políticas de segurança
  • Implantar e executar em arquiteturas de microsserviços

Limitação de taxa — mitigue ataques DDoS e proteja seus aplicativos definindo limites de taxa

  • Especifique a taxa máxima de solicitação para cada cliente, consumidor ou recurso
  • Proteja os endpoints da API e garanta SLAs para os consumidores da API
  • Defina várias políticas de limitação de taxa

Monitoramento e alertas em tempo real — obtenha insights críticos sobre o desempenho da API

  • Gráficos de métricas-chave, como latência e duração da resposta
  • Métricas específicas do gateway, como solicitações por segundo, conexões ativas e uso de largura de banda
  • Alertas sobre mais de 100 métricas, como uso de CPU, erros 4xx/5xx e falhas de verificação de integridade, com base em limites predefinidos
  • Fácil integração com qualquer ferramenta de monitoramento de sua escolha usando REST API

Autenticação e autorização

  • Validar JSON Web Tokens (JWTs)
  • Crie e gerencie chaves de API para consumidores
  • Importar chaves de API de sistemas externos
  • Compartilhe com os consumidores da API
  • Aplicar políticas a grupos de clientes de API

Painéis — monitore e solucione problemas de gateways de API rapidamente

  • Um painel de visão geral que agrega métricas em gateways de API
  • Uma pontuação de integridade do aplicativo que mede solicitações bem-sucedidas e respostas oportunas
  • Painéis personalizáveis para monitorar métricas específicas para seu ambiente
Próximos passos

Descubra como os produtos e soluções da F5 podem permitir que você atinja seus objetivos.

Contato F5