Início
topics
Governança de API
Publicado: 24 Maio 2024
Contribuintes: Gita Jackson, Michael Goodwin
Governança de API é o conjunto de padrões, políticas e práticas que orientam como uma organização desenvolve, implementa e utiliza suas APIs (interfaces de programação de aplicações).
A governança de API estabelece o framework e a estratégia que orientam o API Management. O objetivo da governança de API é criar APIs que sejam fáceis de encontrar, seguras, escaláveis e reutilizáveis. Em resumo, uma governança de API eficaz resulta em APIs de maior qualidade, mais valiosas e proporciona uma melhor experiência ao usuário.
A governança de API promove a consistência no ecossistema de APIs de uma organização, garantindo que elas sigam um padrão comum e estejam alinhadas à estratégia de negócios. Esses padrões e políticas são aplicados por meio de verificações e validações. Por exemplo, uma governança eficaz garante que as APIs possuam os metadados necessários para que parceiros internos e externos as utilizem com facilidade.
Muitas organizações, especialmente as que estão passando por uma transformação digital, precisam integrar sistemas legados com novas tecnologias. Ao definir e aplicar padrões para elementos como protocolos e linguagens, a governança de API assegura que as APIs funcionem sem dificuldades em diversos ambientes e sistemas. Os modelos de governança frequentemente incluem subconjuntos de regras para diferentes protocolos de API ou casos de uso, permitindo que a organização adapte a governança às necessidades e iniciativas específicas do negócio.
A governança de API também auxilia na redução de redundâncias (quando equipes criam novos serviços em vez de reutilizar integrações existentes) e evita que a organização desenvolva ou integre serviços desnecessários. Isso contribui para diminuir os custos gerais relacionados ao API Managements. A governança também auxilia na redução da dispersão de APIs (quando várias APIs desenvolvidas e gerenciadas de forma independente estão espalhadas por diversos departamentos) e das inconsistências e vulnerabilidades de segurança que isso pode causar.
Obtenha insights sobre os principais desafios que impulsionam a necessidade de gerenciamento de APIs e entenda os principais recursos inerentes a uma solução eficaz de gerenciamento de APIs.
A governança de API é importante porque garante a disponibilidade e segurança das APIs à medida que os ambientes de TI se tornam mais complexos, e as organizações dependem cada vez mais de microsserviços e aplicações (como soluções de SaaS) distribuídas em diversos ambientes. A governança de API permite que a organização exponha com segurança seus recursos e funções de negócio, disponibilizando-as para uso por clientes internos e externos.
Isso é particularmente relevante para grandes empresas, muitas das quais utilizam milhares de APIs.1 Uma governança eficaz de APIs garante que o programa de APIs da organização funcione de maneira eficiente e coesa, alinhado aos objetivos de negócio. Por exemplo, a governança possibilita à organização criar APIs que integram sistemas legados em serviços compostos e também interagem com aplicações e serviços mais modernos hospedados na nuvem.
A governança de API também é crucial porque ajuda a diminuir redundâncias e a mitigar os riscos associados à proliferação desordenada de APIs. A governança facilita para os stakeholders identificar quais recursos já existem (e como utilizá-los) e quais funcionalidades precisam ser desenvolvidas. As políticas de governança de API auxiliam na padronização do design e desenvolvimento de APIs, garantindo que as novas APIs funcionem em conjunto com outras APIs modulares. A governança também garante que as APIs estejam em conformidade com os órgãos reguladores e que as organizações implementem e façam cumprir medidas de segurança adequadas.
A governança de API é especialmente importante para organizações que buscam uma estratégia API-first. Nessa estratégia, as APIs são consideradas ativos estratégicos de negócio e têm prioridade durante o processo de desenvolvimento, em vez de serem tratadas após o desenvolvimento de aplicações. As políticas de governança ajudam a garantir que todas as APIs sejam modulares e interoperáveis, e que novas APIs adicionadas ao ambiente tragam valor e funcionem conforme o esperado.
Embora esses termos estejam relacionados e sejam essenciais para a integridade das APIs em todas as fases do ciclo de vida, eles são conceitos distintos. A governança de API estabelece os padrões e melhores práticas que fornecem uma estratégia e framework de gerenciamento para APIs. O API Management é a aplicação dos princípios de governança de API em todo o portfólio de APIs, centralizando o controle e a análise. Um API Management eficiente garante que a organização siga políticas e protocolos de segurança, como o uso de OAuth e criptografia.
O API Management garante consistência e controle em todo o ambiente de APIs. É fundamental para assegurar a qualidade das APIs e ajudar as organizações a liberar todo o potencial das APIs. Uma plataforma de gerenciamento de API centraliza o controle e utiliza um pacote de ferramentas para otimizar a implementação, documentação e compartilhamento de informações entre equipes.
As plataformas de gerenciamento geralmente incluem um gateway de API, portal do desenvolvedor, documentação de API, catálogo de APIs, ferramentas de análise de dados e um componente de gerenciamento do ciclo de vida das APIs. As plataformas de gerenciamento de APIs permitem que as organizações criem, compartilhem, monitorem e ajustem APIs rapidamente, obtenham maior observabilidade do ciclo de vida, ampliem o alcance das APIs, monetizem melhor as APIs e muito mais.
A segurança de API refere-se às políticas e procedimentos que protegem as APIs de uma organização contra agentes maliciosos, uso indevido e ameaças de cibersegurança. Os princípios estabelecidos em uma estratégia de governança de API orientam as políticas de segurança de API.
Por exemplo, políticas de segurança podem exigir o uso de um gateway de API para separar serviços de back-end e aplicações front-end, ajudando a bloquear ataques de injeção SQL. A política pode exigir que um método padrão de autenticação seja utilizado em todos os casos, ou definir métodos diferentes para tipos distintos de dados.
Uma governança de API eficaz engloba e molda a forma como a empresa lida com o gerenciamento e a segurança de APIs. A governança de API define as políticas que ajudam a organização a usar suas APIs de forma eficiente, incluindo como gerenciá-las e protegê-las de ameaças cibernéticas.
Para estabelecer padrões de API claros e uniformes, é preciso compreender integralmente o cenário de APIs da empresa. Quanto mais APIs estiverem em uso, mais complexo esse processo pode se tornar. Para garantir políticas eficazes, as organizações buscam seguir algumas melhores práticas em seu modelo de governança, incluindo:
Um dos principais motivos para adotar a governança de API é garantir que as diversas APIs utilizadas pela organização sejam de alta qualidade, otimizadas e padronizadas. Isso pode incluir a adoção de um padrão de codificação como o OpenAPI Specification (OAS), que define um formato padrão para APIs REST. A implementação desses padrões também pode aprimorar a escalabilidade das APIs.
Também é importante padronizar os campos de metadados das APIs para garantir que todas sejam facilmente encontradas e reutilizadas. As organizações devem armazenar essas políticas e procedimentos em um local centralizado e acessível, para que todos que precisem consultá-los possam fazê-lo. Esses padrões devem ser aplicados em toda a empresa para garantir que todas as APIs sigam o mesmo modelo durante todo o ciclo de vida.
Verificar se as APIs seguem sempre as diretrizes de governança seria uma tarefa exaustiva se alguém tivesse que revisar cada uma manualmente. Ferramentas de governança de autoatendimento e aplicações de API Management podem validar e aplicar as políticas de governança da organização em diversos ambientes, e a automação pode tornar o processo muito mais confiável e eficiente.
Ao incorporar verificações automatizadas de governança nos processos de revisão de APIs por exemplo, garantindo que os desenvolvedores usem um modelo de dados comum as organizações podem assegurar que as APIs sigam as diretrizes desde o desenvolvimento até a implementação e uso. A automação não substitui necessariamente as revisões manuais ambas são mais eficazes em conjunto mas ajuda a eliminar erros no processo de inspeção, aumentar a velocidade de entrega e tornar as políticas de governança mais eficientes.
As organizações frequentemente testam, modificam, ampliam e reimplantam APIs para torná-las mais eficientes ou otimizar fluxos de trabalho à medida que os negócios mudam e crescem. Para garantir que as APIs cumpram as políticas de governança em todas as versões e rastrear as mudanças entre elas, o controle de versão de APIs deve ser rigoroso e consistente.
Garantir que as iterações das APIs sejam transparentes e indiquem claramente as mudanças que são ou não compatíveis com versões anteriores ajuda a economizar tempo, dinheiro e evitar contratempos. Utilizar o esquema de versões principais, secundárias e correções é tido como melhor prática.2
As estruturas de governança não são úteis se forem tão rígidas a ponto de impedir a organização de usar APIs que seriam benéficas, ou se atrasarem significativamente a velocidade de desenvolvimento. Em alguns casos, regras de governança criadas para um cenário podem não ser adequadas para outro. Por exemplo, uma API usada em um portal interno de desenvolvedores pode precisar de protocolos diferentes de uma destinada a um marketplace público.
O mesmo se aplica a diferentes setores empresariais. Diferentes setores da organização podem utilizar as mesmas APIs de maneiras distintas. Por exemplo, uma equipe pode precisar de um código de erro personalizado quando certas condições ocorrem, algo que não é relevante ou necessário para outras equipes. As políticas de governança devem ser flexíveis o suficiente para permitir tais exceções e não atrapalhar o DevOps e outras metodologias ágeis.
Para que as políticas de governança de API funcionem como previsto, as organizações devem capacitar as equipes de DevOps e outros stakeholders para implementá-las sem intervenção externa. Aplicar políticas de governança pode envolver treinamento, criação de novas ferramentas de API para facilitar a governança e tornar as informações sobre as políticas o mais acessíveis possível. Em um ambiente que prioriza APIs, esse nível de acessibilidade é especialmente importante.
Conforme as empresas progridem na transformação digital, tendem a usar mais APIs. Gerenciar um portfólio complexo de APIs, com muitas dependências, pode complicar a criação de políticas abrangentes de governança de APIs sem sufocar a criatividade e o desenvolvimento. Automatizar partes do processo de governança, como implantação de APIs e monitoramento, verificações e validações, pode ajudar a agilizar esse aspecto da governança de API. A automação também pode promover consistência nas políticas e estratégias de governança da empresa à medida que o ambiente de APIs se torna mais complexo.
Outro grande desafio na governança de APIs é criar políticas de segurança que protejam as APIs da empresa. As violações na segurança de APIs podem levar a vazamentos de dados significativos e outros incidentes que colocam a empresa e os clientes em risco. Estabelecer políticas de segurança sólidas dentro da governança de API e implementar verificações automáticas para garantir o cumprimento das políticas pode ajudar a proteger informações sensíveis e manter os sistemas em pleno funcionamento.
Políticas inadequadas de governança de API podem atrapalhar o desenvolvimento, pois introduzem etapas extras no processo de criação. Ao garantir que as políticas de governança e verificações ocorram em todas as etapas do ciclo de vida de uma API, a organização pode evitar gargalos criados quando as checagens de conformidade ocorrem esporadicamente ou apenas antes da implementação.
Elaborar políticas de governança com flexibilidade e foco na capacitação também ajuda a mitigar esse desafio, assim como compreender que os líderes de governança devem revisar, testar e ajustar as políticas se não estiverem funcionando como previsto.
A governança de API estabelece melhores práticas e padrões que ajudam as organizações a construir ambientes de API que impulsionam a inovação e o crescimento. As políticas bem implementadas criam um ambiente consistente e seguro que permite à organização integrar sistemas e bancos de dados legados, além de construir novos serviços compostos.
Além disso, a governança da API pode:
A governança garante que as APIs sejam construídas seguindo um padrão consistente. A padronização facilita a integração de fluxos de trabalho, promove o reuso de APIs, acelera o desenvolvimento de novos serviços, incentiva a conformidade e monetização de APIs, entre outros benefícios. De modo geral, auxilia tanto clientes internos quanto externos a extrair o máximo das APIs da empresa.
A governança de API ajuda a organização a integrar sistemas existentes e criar novos fluxos de trabalho que otimizam processos empresariais, aproveitam o volume crescente de dados e possibilitam equipes mais capacitadas e produtivas. Quando bem implementada, a governança pode agilizar o desenvolvimento de novas APIs e serviços, e tornar as existentes mais acessíveis, em vez de frear a inovação. Essas funções integradas ajudam as equipes a serem mais produtivas.
APIs espalhadas por departamentos e arquiteturas sem uma plataforma e estratégia unificadas podem gerar inconsistências e vulnerabilidades de segurança. A governança ajuda a manter a dispersão de APIs sob controle.
A redundância ocorre quando equipes criam novos serviços em vez de aproveitar serviços e integrações existentes. A governança de API ajuda a eliminar complexidades desnecessárias e garante que os esforços dos desenvolvedores sejam focados em projetos que agregam valor.
A governança que define protocolos e políticas de segurança ajuda a organização a proteger suas APIs, que são um vetor de ataque comum utilizado por hackers e outras ameaças de cibersegurança.
Por exemplo, um controle de versão rigoroso e documentação podem impedir que equipes implementem acidentalmente uma versão desatualizada de uma API. As políticas de governança de API também podem definir autenticação, autorização e controle de acesso de APIs para garantir que somente as partes apropriadas tenham acesso a uma API.
Como as ameaças de cibersegurança evoluem constantemente, revisar e atualizar regularmente os protocolos de segurança para refletir o cenário atual de ameaças é considerado as melhores práticas.
A interface de usuário do gerenciador de APIs no IBM API Connect ajuda você a organizar, publicar e analisar qualquer API ao longo de todo o ciclo de vida. Ele oferece recursos de governança, controle de versão e controle total sobre a visibilidade entre consumidores, sejam internos ou externos.
O IBM API Connect é uma solução de ciclo de vida completo de API Management que utiliza uma experiência intuitiva para ajudar a criar, gerenciar, proteger, socializar e monetizar APIs de forma consistente, o que promove a transformação digital no local e nas nuvens. Isso significa que você e seus clientes podem turbinar aplicativos digitais e estimular a inovação em tempo real.
O IBM iPaaS (plataforma de integração como serviço) oferece uma abordagem intuitiva e modular para integrar e conectar de sem dificuldades todas as suas aplicações e dados, independentemente de onde estejam. Com ferramentas flexíveis para integração de aplicações, integração de dados, integração B2B e automação de processos, as organizações podem acelerar o time to value com conectores e modelos prontos para uso, permitindo flexibilidade para atender todas as suas necessidades de aplicativos e dados, entre outros benefícios.
Conecte, automatize e libere o potencial dos negócios com o software da plataforma de integração. Com as soluções de integração da IBM, você pode conectar aplicativos e sistemas para desbloquear dados críticos de forma rápida e segura.
Uma API REST (também chamada de API RESTful ou API web RESTful) é uma interface de programação de aplicações que segue os princípios de design do estilo arquitetônico de transferência de estado representacional (REST).
Acesse uma visão técnica geral do IBM API Connect, suas fases do ciclo de vida da API e seus principais componentes do produto.
A Gartner nomeou a IBM como líder no Gartner® Magic Quadrant™ for Full Lifecycle API Management pela oitava vez consecutiva.
A Gartner nomeou a IBM como Líder no relatório Gartner Critical Capabilities for API Management
Notas de rodapé
1 "The 2022 API Security Trends Report" (link externo ao site ibm.com), 451 Research, nonamesecurity.com, 2022.
2 “Versioning of APIs” (link externo ao site ibm.com), Framework de interoperabilidade de imagens internacionais.