API 蔓延指的是组织内部 API 无序增长和扩散,这既源于现代 IT 架构中 API 数量的爆炸式增长,也源于 API 在全球分布的数字环境中广泛应用。 这股 API 的激增带来了愈发严峻的挑战: 随着您构建和部署的 API 日益增多,且缺乏统一策略或集中管理,您将面临更难以有效掌控的局面。 您需要建立 API 治理流程和配套工具,以应对 API 蔓延为您的组织带来的重大运营与安全难题。
为什么API泛滥成了问题? 现代微服务应用架构的广泛应用大大推动了API的激增,API成为连接组成当今应用模块化服务和组件的关键纽带。 API简化并加快了开发周期,让你轻松集成现有数据、重复利用功能,或接入第三方服务,而无需从零构建。
此外,94%的组织在多个环境中部署应用,他们通过API连接这些跨越不同平台和地点的多样服务与数据集。 这种碎片化让确保API质量、可见性和安全性保持一致变得愈发困难。 维护完整且实时更新的API清单,也已成为众多组织面临的复杂挑战。
这篇博文将深入解析 API 治理的基本概念,帮助您了解 API 治理的内涵,以及它与 API 管理和 API 安全的区别。 您还将掌握 API 治理的三种模型,探索行业最佳实践策略。
API 治理涵盖了定义 API 如何设计、构建、安全保障、监控和维护的一系列政策和标准。 我们的目标是确保 API 具备高质量、一致性、安全性,以及合规性。 无论是内部开发的 API,还是合作伙伴或供应商提供的第三方 API,我们都涵盖其中。
此外,随着越来越多的企业采纳以API 优先的现代策略——即应用设计从服务和 API 着手,您更需要重视治理,因为它确保在 API 层面内置一致性、安全和合规。
API治理流程应贯穿整个API生命周期,涵盖以下几个方面:
API治理、管理和安全虽相互关联,但各有侧重。我们应首先推行治理,确保API管理和API安全的执行标准统一。
API 管理是通过开发者门户、API 网关和 API 生命周期管理软件等工具来执行 API 治理策略。 这些工具通常整合在一个 API 管理平台中。 治理策略既规定工具的标准,比如要求团队统一使用标准化平台,也指导操作流程,例如如何管理 API 密钥和凭据。
API 安全指我们根据 API 治理策略执行安全和合规要求。 虽然部分组织依赖专用的 API 安全工具,但您会发现越来越多的采用Web 应用和 API 保护(WAAP)解决方案,实现更全面、一体化的防护。 治理策略会明确 API 的最低安全标准,包括所需的基础控制和配置指南,指导您如何让 API 网关、WAF 以及 API 保护解决方案应对各类威胁载体上的潜在攻击。 范围涵盖 Web 应用、API 及自动化威胁的 OWASP Top 10 清单,同时推行 API 规范化操作,如避免硬编码 API 密钥或将其嵌入客户端库源代码中。
API治理模型分为三种:集中式、分散式和随需而变:
集中治理由一个中央团队负责管理,他们制定、审查并批准所有治理政策。 这种方式的优势在于能够执行最严格的治理政策,确保整个组织的高度一致性。 但僵化且统一的方法未必适合所有情况,它会拖慢开发进度,促使团队寻找变通方式,甚至催生“影子 IT”。
分散治理让每个团队拥有管理自身 API 治理策略的自主权。 这种方式加快开发速度并增强灵活性,更好地满足各团队的具体需求。 但分散治理可能导致组织内 API 策略和安全控制不统一,从而引发集成难题、系统配置错误和合规漏洞。
随需治理在上述两种模型之间实现了平衡。 中央团队制定全球政策并管理共享基础设施,同时赋能开发团队,根据各自应用和API的具体需求定义本地政策。 这些政策可能涵盖区域性、政府或行业的特定合规要求。 在大多数情况下,随需治理带来最佳效果:它清晰划分了必须统一遵守的政策和允许根据需要灵活调整的范围。
F5在整个API生命周期中提供API管理与安全解决方案,作为F5应用交付与安全平台(ADSP)的重要组成部分。 该平台支持全面的API交付,配合完整的发现、持续的监控与检测,以及安全控制,帮助您执行关键策略,确保API正常运作并抵御各种攻击。 我们通过集中平台,实现跨多样化IT环境的全面可视化和策略管理。