Le API sono gli elementi costitutivi per fornire iniziative digitali e di automazione. Non è mai stato così facile implementare e distribuire API su larga scala consentendo alle organizzazioni di creare ciò di cui hanno bisogno quando ne hanno bisogno.
Ma questo lascia gli organizzatori con il rischio di non sapere quali API sono in produzione e di non essere in grado di gestirle.
Gartner ha previsto che:
"Entro il 2025, meno del 50% delle API aziendali sarà gestito, poiché la crescita esplosiva delle API supera le capacità degli strumenti di gestione delle API".
La gestione delle API garantisce la qualità e la sicurezza coerenti delle API attraverso la progettazione, lo sviluppo e l'implementazione. Tuttavia, spesso vediamo la gestione delle API come un ostacolo alla delivery del prodotto.
Senza una gestione adeguata, le API che costruiamo e utilizziamo per creare un'impresa componibile diventano l'anello debole che lascia i dati esposti.
Quindi, questo ci porta alla domanda: come possiamo proteggere le API senza rallentare l'innovazione?
Proteggi i Tuoi Dati in modo Proattivo con la Gestione delle API
Per proteggere le API senza rallentare la delivery dei prodotti, le organizzazioni hanno bisogno di:
- Allineamento sui requisiti di governance;
- Miglioramento della visibilità di tutte le API distribuite;
- Conformità della governance durante lo sviluppo dell'API;
Implementando controlli di governance automatici durante l'intero ciclo di vita dello sviluppo, in particolare durante lo sviluppo e la catalogazione, le organizzazioni possono garantire che ogni API sia conforme ai requisiti di sicurezza e best practice.
Ora, discutiamo di come la tua organizzazione può ottenere una governance proattiva con Anypoint API Governance e Anypoint API Catalog CLI, entrambi parte di Universal API Management (UAPIM) di MuleSoft.
1. Allineamento sui Requisiti di Governance
Prima di iniziare il tuo percorso di governance, determina quanto segue:
- Quale tipo di API necessita di quale tipo di conformità? Per esempio: Esistono API particolari che trattano dati sensibili? E che tipo di controlli di governance avrebbero bisogno?
- Quando dovrebbe avvenire il controllo di conformità? Cioè, quando l'API è in fase di sviluppo o stabile?
- Chi dovrebbe ricevere una notifica quando un'API non soddisfa la conformità?
- Quali sono gli standard o le best practice aziendali?
Le risposte a queste domande faranno da guida mentre esplori la governance proattiva.
Anypoint API Governance garantisce una qualità e una sicurezza delle API coerenti attraverso set di regole di governance. Tali set possono essere applicati sui metadati estratti dalle definizioni API in Anypoint Platform.
MuleSoft fornisce diversi set di regole predefiniti in Anypoint Exchange, come Anypoint API Best Practices, OpenAPI Best Practices, OWASP API Security Top 10 e set di Best Practices per la sicurezza dell'autenticazione. È possibile individuare i set di regole pubblicati in Exchange filtrando la ricerca in Exchange in base al tipo di set di regole.
Per ciascuno dei set di regole predefiniti, puoi vedere la documentazione e le regole associate facendo clic sulla risorsa.
La figura seguente mostra la pagina del set di regole dell'elenco di controllo Top 10 2019 per la sicurezza dell'API OWASP.
Determinando quali API necessitano di un determinato set di regole, puoi determinare se hai bisogno di un set di regole personalizzato per la tua organizzazione. È possibile creare set personalizzati dai set di regole forniti.
2. Migliora la Visibilità di Tutte le API Distribuite
Per verificare la conformità della governance delle API, devi avere accesso alle definizioni API. Tuttavia, avere visibilità su tutte le tue API può essere difficile se la tua organizzazione esamina vari repository, ambienti e pratiche di documentazione.
Con API Catalog CLI ora puoi scoprire e catalogare le tue definizioni API, i file di documentazione e i metadati associati e portarli tutti in un unico ambiente, Anypoint Exchange, indipendentemente da dove viene sviluppata l'API. Puoi incorporare i comandi CLI nella tua pipeline CI/CD per attivare automaticamente la pubblicazione delle tue risorse API in Exchange.
Durante il processo di catalogazione, puoi contrassegnare e classificare le API che ti consentiranno nel passaggio successivo di applicare i set di regole appropriati alle tue API non appena vengono aggiunte ad Exchange.
3. Implementare Controlli di Governance Durante tutto il Ciclo di Vita dello Sviluppo
Ora che hai determinato i criteri di governance e catalogato tutte le API in un unico ambiente, è il momento di implementare i controlli di governance. Anypoint API Governance offre attualmente due esperienze:
- Gli architect/amministratori della sicurezza possono applicare gli standard in modo coerente a qualsiasi API, indipendentemente da dove sono stati creati, attraverso una semplice procedura dettagliata dell'interfaccia utente;
- Gli sviluppatori possono convalidare la conformità durante la progettazione dell'API.
In Conclusione
Per ricapitolare, MuleSoft ha indicato 3 best practice per la gestione delle API all’interno della tua organizzazione:
- È necessario l'allineamento sui requisiti di governance e i set di regole di governance sono un veicolo per determinare quali requisiti di conformità sono necessari;
- Tramite API Catalog CLI, puoi avere visibilità universale di tutte le API indipendentemente da dove sono sviluppate;
- Con Anypoint API Governance, puoi implementare i controlli di governance durante lo sviluppo dell'API, non in un secondo momento.
Gli attacchi alla sicurezza delle API sono in aumento. Puoi combatterli attraverso limiti adeguati stabiliti da pratiche di governance proattive.
Per saperne di più, contattaci al numero (055) 538-3250 o invia una mail a cio@florence-consulting.it. Visita la pagina dedicata a MuleSoft Anypoint Platform sul nostro sito per richiedere ulteriore materiale informativo.
In alternativa, puoi compilare il form sottostante con la tua domanda.