A governança de API refere-se ao conjunto de políticas, processos e procedimentos que garantem a gestão e o controle eficazes das APIs dentro de uma organização. Envolve o estabelecimento de diretrizes e padrões para o design, desenvolvimento, implantação e uso de APIs para garantir consistência, segurança e conformidade – tanto para os produtores quanto para os consumidores de API.
Ela foca na otimização do valor de todo o cenário de API, não apenas de APIs individuais. Um bom framework de governança de API garante que o acesso seja regulado, a segurança seja mantida e os padrões de conformidade sejam mantidos, tudo isso enquanto facilita a integração e colaboração contínuas.
Há uma tensão inerente entre a aplicação centralizada de políticas e equipes globalmente distribuídas e ágeis. É por isso que a questão da governança de API frequentemente surge em organizações acima de um certo tamanho.
Por que a governança de API importa?
No cerne da questão da governança de API está um dos principais objetivos e vantagens do uso de APIs, bem como os desafios potenciais associados.
As APIs frequentemente fazem parte de um esforço para caminhar em direção a uma maneira mais desacoplada de como TI e organização funcionam. Ao quebrar estruturas monolíticas, torna-se mais fácil fazer alterações, adicionar novas capacidades e melhorar a capacidade de inovar e iterar.
O objetivo é diminuir o acoplamento, e o caminho é conectar blocos de construção digitais por meio de APIs e projetá-los para serem usados e reutilizados facilmente.
Mas ao reduzir o desenvolvimento centralizado nesse impulso em direção a uma organização mais ágil, você perde algum controle central. Isso nos leva a um grande desafio no cenário de API de hoje: a proliferação de APIs, o crescimento não controlado de APIs em organizações que operam cada vez mais em um ambiente multi-cloud, multi-equipe e multi-gateway.
De acordo com um estudo recente, a proliferação de APIs lidera a lista de desafios empresariais, à frente da manutenção de um inventário preciso de APIs e da priorização de APIs para remediação.
A questão, então, é como garantir que os componentes descentralizados sigam determinadas diretrizes que são construídas e fornecidas de forma a ajudar o objetivo geral de quebrar estruturas monolíticas em capacidades fragilmente acopladas.
Uma abordagem de gestão de API universal ou federada pode ajudar a equilibrar esse aspecto, fornecendo uma visão única. Isso ajuda a reduzir o risco e a simplificar os processos sem interromper os centros de desenvolvimento existentes.
Governança de API vs. Gestão de API
Neste ponto, você pode estar se perguntando, qual é a diferença entre governança de API e gestão de API? Elas estão relacionadas, mas para simplificar:
A governança de API é o conceito mais amplo que engloba as políticas e processos para gerenciar APIs, enquanto a gestão de API é a implementação dessas políticas e processos usando ferramentas e plataformas dedicadas.
Essencialmente, você pode olhar para isso como a governança de API estabelecendo as diretrizes, enquanto a gestão de API fornece os meios para fazer, cumprir e gerenciar essas diretrizes de forma eficaz.
A questão da segurança de API
A governança de API e a segurança geralmente andam de mãos dadas, como o adágio familiar “você não pode gerenciar o que não pode ver” nos lembra. E as APIs invisíveis e desconhecidas representam o maior vetor de ataque na maioria das organizações hoje.
Se com a governança de API buscamos ter uma visão global do panorama empresarial, garantir a segurança dessas APIs será uma parte inevitável do processo de governança e gestão de ativos.
Tendências de governança de API
A gestão de API foi inicialmente vista de uma forma muito estreita, gerenciando APIs individuais realizando tarefas como autenticar e autorizar o acesso à API, impedindo o acesso não autorizado.
Com o crescimento explosivo de APIs, a gestão de API evoluiu para cobrir todo o ciclo de vida de uma API, juntamente com o ciclo de desenvolvimento de lançamento, teste, implantação e atualização da API. Começamos a ver componentes adicionais, como ferramentas de teste e monitoramento.
As empresas começaram a migrar de conjuntos abrangentes que abrangiam o planejamento, design, teste, gateway, portal e gestão do ciclo de vida de uma API para uma abordagem mais modular. Elas começaram a integrar várias ferramentas de fornecedores, como usar uma ferramenta de teste de API de um provedor e um gateway de API de outro.
Uma grande parte dessa evolução foi impulsionada pela federação de API – um conceito-chave para a gestão de API universal/federada.
O novo ecossistema: a gestão de API é uma commodity – e agora?
A perspectiva é útil porque, hoje, temos cenários que estão fora da visibilidade de APIs individuais, como o valor que é criado quando as APIs são projetadas de maneira coerente e, assim, fica mais fácil para os desenvolvedores se conectarem ao ecossistema completo no panorama de API de uma organização.
O objetivo da governança de API é maximizar o valor produzido por uma paisagem de API, o que tem muito a ver com garantir que a Experiência do Usuário (UX) torne fácil para aplicativos valiosos serem desenvolvidos nesse cenário.
Melhores práticas para governar APIs
Quando as APIs são projetadas de forma coerente, seu valor é mais aparente, e fica mais fácil para os desenvolvedores se conectarem ao ecossistema completo do panorama de API de uma organização. Com isso em mente, aqui estão algumas melhores práticas a serem consideradas ao definir sua estratégia de governança de API.
- Estabeleça políticas de governança claras.
Monitore e faça cumprir centralmente políticas em torno do desenvolvimento, uso, segurança e conformidade da API para garantir consistência e alinhamento com os objetivos organizacionais e requisitos regulatórios.
- Automatize a validação de API.
Realize verificações semânticas em APIs para garantir que atendam a todos os padrões corporativos e de segurança e estejam livres de problemas (também chamados de linting).
- Padronize o design da API.
Melhore a interoperabilidade, usabilidade e experiência do desenvolvedor em toda a organização.
- Implemente versionamento.
Gerencie alterações e atualizações nas APIs ao longo de seu ciclo de vida, minimizando a interrupção para os consumidores existentes.
- Mantenha um registro/catálogo central de API.
Isso pode ser feito manualmente como parte dos pipelines CI/CD, mas é demorado e propenso a erros humanos. Automatizar o processo usando scanners independentes em um plano de gerenciamento central ajuda a evitar as inevitáveis APIs “zumbis” que tão facilmente passam despercebidas em organizações grandes e distribuídas.
- Assegure-se de que cada estilo de API seja sustentado.
As empresas de hoje estão aproveitando modelos de API mais recentes além das clássicas APIs REST, como eventos e fluxos de integração, espalhados por várias nuvens de vários provedores.
- Aplique autenticação e autorização.
Isso pode ser ainda mais automatizado por meio de controles de acesso baseados em funções, gestão de chaves de API e mecanismos de autenticação/autorização que ajudam a fazer cumprir políticas de segurança e proteger dados sensíveis.
- Proteja as APIs.
Aplique práticas como criptografia, limitação de taxa e detecção de ameaças para mitigar os riscos de segurança e proteger contra possíveis vulnerabilidades.
- Forneça documentação abrangente de API.
Inclua instruções de uso, endpoints, parâmetros e formatos de resposta, para facilitar aos desenvolvedores adotarem e solucionarem problemas com as APIs.
- Monitore e adapte.
Capacidades de análise e monitoramento que rastreiam o uso de API, métricas de desempenho e padrões de consumo em uma única interface ajudam a automatizar o ciclo de feedback do produto e a tomar decisões mais inteligentes de investimento em API.
Dica extra de governança de API: ofereça uma ótima experiência de desenvolvedor
Orientar os desenvolvedores de API por meio de diretrizes e infraestrutura pode ajudar a moldar o panorama de API na direção desejada.
Recursos de engajamento da comunidade, como classificações, avaliações e comentários, ajudam a impulsionar uma maior adoção de API porque os usuários podem tomar decisões mais informadas com base no feedback e suporte da comunidade.
Ainda mais eficaz do que estabelecer regras e diretrizes é fornecer as ferramentas e automação que simplesmente tornam mais fácil “fazer a coisa certa” desde o início.
- Se a validação e a segurança das APIs forem feitas programaticamente, a qualidade do produto de API aumentará.
- Se as APIs forem mais fáceis de produtizar e publicar, você pode reduzir o tempo de lançamento no mercado.
- Se as APIs forem encontradas e usadas mais facilmente, como por meio da simplificação do processo de integração, você pode impulsionar uma maior adoção de API.
Ferramentas de governança de API, como um mercado de API, ajudam a garantir que as regras sejam seguidas e automaticamente aplicadas, tanto dentro quanto fora da organização.
É por isso que fornecer uma experiência de usuário mais forte não apenas fortalecerá sua governança de API; ajudará a maximizar o valor gerado de seu panorama de API.
Ao publicar APIs em um local central – testadas em relação às políticas de segurança e design da empresa, bem documentadas e com um modelo de precificação claro, níveis de serviço e um processo para relatar bugs e solicitar alterações – você pode garantir a governança rigorosa necessária para proteger cada produto de API.
.
Autor
Colaboradores: Lydia Defranchi
Editora-chefe e jornalista do blog da Axway.com
Erik Wilde
Ex-membro da equipe Axway Catalyst, hoje apresentador do popular canal “Getting APIs to Work” no YouTube.
