API-менеджмент (APIM): что это такое и куда ведет

Для начала разберёмся, что вообще такое API?

API (Application Programming Interface) — программный интерфейс приложения. В контексте API слово «приложение» относится к любому ПО с определенной функцией. Интерфейс можно рассматривать как сервисный контракт между двумя приложениями. Этот контракт определяет, как они взаимодействуют друг с другом, используя запросы и ответы. Документация API содержит информацию о том, как разработчики должны структурировать эти запросы и ответы.

В практическом применении API представляют собой механизмы, которые позволяют двум программным компонентам взаимодействовать друг с другом, используя набор определений и протоколов. Например, система ПО метеослужбы содержит ежедневные данные о погоде. Приложение погоды на телефоне «общается» с этой системой через API и показывает ежедневные обновления погоды на телефоне.

Архитектура API обычно объясняется с точки зрения клиента и сервера. Приложение, отправляющее запрос, называется клиентом, а приложение, отправляющее ответ, называется сервером.

В ландшафте API есть две фундаментальные истины.

• Во-первых: API стали стратегическим инструментом для компаний, позволяющим им расширить свой цифровой охват, ускорить развитие бизнеса и сделать больше для своих клиентов.
• Во-вторых: из-за принципа их работы и опыта предыдущего использования, API-интерфейсы особенно уязвимы для атак со стороны злоумышленников. Фактически, согласно недавним исследованиям, трафик вредоносных атак на API вырос на 117% за последний год.

Итак, что это оставляет компаниям, которые хотят использовать возможности API? Для начала им необходимо инвестировать в стратегию безопасности API. Надежная стратегия будет поддерживаться рядом различных инструментов и методологий, включая API-менеджмент (APIM).

В этой статье мы более подробно рассмотрим, что такое API-менеджмент, его преимущества и как он будет меняться по мере дальнейшего развития ландшафта API.

Что такое API-менеджмент (APIM)?

APIM — это процесс создания, распространения, мониторинга и анализа API, которые соединяют приложения и данные на предприятии и в облаках. Обычно развертываемая как масштабируемая платформа, APIM позволяет предприятиям совместно использовать свои конфигурации API, контролируя доступ, отслеживая и собирая данные об использовании, а также применяя политики безопасности, связанные с API.

Другими словами, APIM даёт предприятиям возможность лучше использовать экономику API без ущерба для безопасности. Есть и внутренние преимущества: управление всеми API на одной унифицированной платформе позволяет предприятиям обмениваться документацией API и конструкциями кода между командами, что в конечном итоге упрощает и ускоряет работу разработчиков.

Каковы компоненты APIM?

Платформы APIM обычно состоят из пяти ключевых элементов, обеспечивающих гибкость, качество, скорость и безопасность корпоративных API-интерфейсов.

1. Шлюз API: API-шлюз действует как портал, через который обрабатываются все запросы на маршрутизацию и переводы протоколов. Поскольку API часто имеют разные структуры и языки, да ещё и постоянно меняются, API-шлюзы облегчают коммуникацию, предоставляя единую точку контакта для внутренних и внешних сторон взаимодействия с API.
2. Портал разработчика API: Портал разработчика предоставляет центр самообслуживания для разработчиков, которые хотят получить доступ к документации API и поделиться ею. Это значительно ускоряет работу разработчиков с API, оптимизирует процессы сборки и тестирования и обеспечивает согласованность во всей команде.
3. Аналитика API: существует множество нюансов как в понимании, так и в оценке использования API и его операционных показателей. Именно здесь зачастую важную роль играет функция отчётности и аналитики API. Платформы APIM часто оснащены информационными панелями, которые обеспечивают наглядность и позволяют корпоративным командам принимать более обоснованные решения о том, как они используют свои API. Например, стоит ли их монетизировать. С точки зрения эксплуатации, эти информационные панели помогают выявлять проблемы на ранней стадии, чтобы их было возможно было оперативно решить.
4. Управление жизненным циклом API: одна из самых больших проблем с API-интерфейсами заключается в том, что отсутствует видимость всего жизненного цикла, от проектирования до внедрения и вывода из эксплуатации. Причина в том, что API часто создаются для небольших внутренних применений, а затем запускаются в более широкие варианты использования без надлежащей проверки. Управление жизненным циклом сглаживает этот недостаток, предоставляя устойчивое решение для создания, тестирования и управления API с поддержкой контроля версий.
5. Менеджер политики API: каждый API должен работать в рамках набора политик, которые определяют его эволюцию. Менеджеры политики API контролируют жизненный цикл этих политик и размещают более широкие политики, которые влияют на всю инфраструктуру API.

В платформе APIM каждый из этих инструментов объединяется, чтобы предоставить компаниям более полное и всестороннее представление об их API и контроле для повышения безопасности во всей экосистеме API.

Чем APIM не является

Платформы APIM необходимы для удобного наблюдения и контроля над инфраструктурой API, а также для облегчения реализации функций безопасности API. Однако важно отметить, что платформы API-менеджмента, по сути, не являются платформами безопасности.

Компании должны учитывать и применять элементы безопасности API, включая непрерывную аутентификацию и авторизацию, контроль доступа, проверку данных, безопасность во время выполнения, а также план тестирования API как в производстве, так и в предварительной разработке.

Также важно отметить, что APIM не является универсальным решением для всех. Важно оценить IT-инфраструктуру и другие ресурсы компании, чтобы убедиться, что она достаточно оснащена для внедрения платформы APIM. Есть ли у команды разработчиков необходимый уровень знаний? Достаточно ли они работают с API? Существуют ли политики безопасности API, позволяющие инструменту APIM выполнять свою работу наилучшим образом? Все это важные вопросы, на которые необходимо ответить до принятия решения о переходе на платформу APIM.

Каковы преимущества APIM?

API-интерфейсы зачастую существенно отличаются друг от друга, что затрудняет разработку всеобъемлющих мер для их управления. API-ландшафт постоянно меняется, поэтому документация быстро устаревает и становится неактуальной. Это лишь одна из причин, почему API становится таким привлекательным для киберпреступников. APIM устраняет этот недочёт, разбавляя технологию другими преимуществами.

APIM необходим для бизнеса по следующим причинам:

• Централизованный просмотр всех подключений к API, снижение риска атак и предоставление команде разработчиков возможности оперативно выявлять уязвимости и прочие недочёты
• Содействие принятию решений на основе данных для бизнеса, таких как монетизация API
• Защита бизнеса от угроз, связанных с API
• Возможность создания подробной документации по API
• Создание лучшего пользовательского интерфейса для потребителей API
• Улучшение опыта разработчиков
• Предоставление лучшего понимания текущего состояния безопасности API, что позволяет разработчикам создавать лучшую экосистему

Как выглядит будущее APIM?

API точно никуда не денутся. Предприятия продолжают создавать приложения, которые полагаются на сотни, если не тысячи различных API. Поскольку API доступны многим центрам обработки данных, облачным провайдерам и клиентам с различными уровнями требований к доступу и настройке — масштабы и сложность экосистем будут только увеличиваться. Для предприятий, которые хотят оставаться гибкими, организованными и безопасными, APIM станет жизненно необходим.

APIM будет продолжать оставаться важным драйвером для управления версиями, процессами развёртывания, показателями использования и совместимости. С точки зрения безопасности платформы APIM будут развиваться по мере того, как шлюзы API будут устаревать, внося в работу систем различные ограничения.

Другие изменения произойдут в самих интерфейсах. С появлением инструментов, которые предлагают больше возможностей по визуализации, произойдёт существенный сдвиг в инструментарии разработчика. Таким образом, разные команды разработчиков могут вносить свой вклад в APIM в рамках своих навыков и при этом иметь четкое представление о рабочих процессах, жизненных циклах API и политиках безопасности.

По мере дальнейшего развития платформы APIM станут стратегическим активом для компаний, которые хотят максимально использовать возможности API без ущерба для своей безопасности.