Melhores práticas de estratégia de API

As interfaces de programação de aplicativos (APIs) são de inestimável valor para as organizações modernas, usadas para conectar e integrar aplicações, sistemas e bancos de dados, orquestrar fluxos de trabalho, acelerar o desenvolvimento e a distribuição de novos aplicativos e serviços, criar interfaces modernizadas para sistemas legados e muito mais. A empresa média tem mais de 613 endpoints de API em produção.

No entanto, se as APIs forem criadas, implementadas ou incorporadas de maneira ad hoc, as organizações correm o risco de deixar valor na mesa ou pior, deixando a organização vulnerável a riscos de cibersegurança. Uma estratégia abrangente de APIs ajuda a garantir que uma organização capitalize totalmente suas APIs e que elas trabalhem em serviço de iniciativas de negócios compartilhadas.

Uma estratégia de API é um plano de alto nível que descreve como uma organização usará APIs para alcançar as metas de negócios. Ela estabelece diretrizes e políticas para design, desenvolvimento e implementação de APIs, API management, segurança e mais. A estratégia de API ajuda a garantir que as APIs de uma organização não existam isoladamente, mas trabalhem juntas para atender a maiores necessidades e objetivos comerciais.

Uma estratégia de API leva em conta as necessidades técnicas, de segurança e de conformidade de uma organização, ao mesmo tempo em que ajuda a promover um sistema sustentável, previsível e centralizado para implementar novas APIs no futuro.

Em resumo, a estratégia de API ajuda as organizações a projetar e gerenciar APIs mais eficientes, valiosas e seguras. A funcionalidade da API é tão extensa e variada, evoluindo de forma tão rápida, que os stakeholders precisam ter uma estratégia concreta de API para manter a coesão, a eficiência e a eficácia nos projetos de API.

Como existem muitos tipos de APIs (e ainda mais maneiras de usar) e elas desempenham um papel fundamental nas empresas modernas, as organizações devem ter uma estratégia de API clara e abrangente para manter a ordem em seu ecossistema digital, evitar o desperdício de recursos e os riscos de segurança, garantindo que suas APIs estejam agregando o máximo valor comercial possível.

Uma estratégia de API robusta pode proporcionar uma experiência melhor para desenvolvedores, melhorar a compatibilidade e escalabilidade, ajudar as organizações a monetizar suas APIs e muito mais. A estratégia de API também é uma parte importante para alcançar objetivos holísticos, como transformação digital.

Transformação digital é uma estratégia que visa incorporar tecnologia digital em uma organização. Trata-se de uma reformulação completa de processos, produtos, operações e do stack de tecnologia para permitir a inovação contínua, rápida e orientada ao cliente. Não se trata apenas de substituir determinados processos ou atualizar serviços; é uma transformação de negócios completa que coloca a tecnologia no centro de uma organização.

As APIs, e uma estratégia de API bem fundamentada, desempenham um papel gigantesco na condução dessa transformação. Com a tecnologia no centro, são as APIs que são frequentemente usadas para conectar tecnologias em uma empresa e conectar usuários a aplicações, sistemas e serviços corporativos.

As APIs permitem que as organizações forneçam mais serviços a mais usuários (abrindo novos fluxos de receita), agilizem esses serviços e melhorem a experiência geral do usuário, facilitem a troca de dados entre sistemas internos, bancos de dados e aplicações e conectem recursos hospedados em diferentes provedores de nuvem , para modernizar a infraestrutura de TI legada e muito mais. 

Uma estratégia sólida de API empresarial inclui documentação completa de APIs (leia mais sobre como as organizações podem descobrir APIs aqui) que explique claramente como as APIs de uma organização são criadas e utilizadas. Um portal do desenvolvedor pode ser uma ferramenta valiosa para disponibilizar, organizar e descobrir APIs de front-end e back-end para os desenvolvedores. Sem uma boa estratégia de API, os desenvolvedores podem ter dificuldades para encontrar as ferramentas de que precisam, o que pode retardar a produção e a implementação e resultar em redundância de API e desperdício de Recursos.

As APIs devem ser monitoradas e atualizadas para acompanhar novos softwares e atualizações de software. Uma estratégia de API bem desenvolvida geralmente inclui planos para o ciclo de vida completo da API: idealização, design de API, teste, implementação, manutenção e, se necessário, descontinuação. Esse processo gera consistência na compatibilidade da API com as versões mais recentes do software e reduz o risco de falhas relacionadas à compatibilidade ou comportamentos imprevisíveis.

A evolução vertiginosa da tecnologia significa que quase todas as organizações dependem de algum tipo de serviço, software ou banco de dados legado. A atualização desses recursos geralmente é cara e demorada.

Enquanto os esforços de modernização avançam, as organizações podem usar APIs para modernizar a interface com esses sistemas e bancos de dados. Isso permite que as organizações integrem recursos legados e aproveitem os dados valiosos contidos neles sem precisar esperar a atualização de todo o sistema.

Por exemplo, um enorme armazenamento de registros de contas de clientes pode ser armazenado em um banco de dados que não é mais usado pelo restante da empresa. Em vez de migrar meticulosamente todos esses dados para um novo sistema (ou enquanto essa migração está em andamento), uma API pode ser usada para permitir que outras partes do sistema se comuniquem com o banco de dados e solicitem informações.

Uma estratégia de API garante que as APIs sejam projetadas, implementadas e documentadas de forma a orientar os negócios em direção aos objetivos declarados e se encaixarem na estratégia de negócios mais ampla. A estratégia de API ajuda a criar um roteiro para o desenvolvimento de API e a distribuição e um plano que produz modelos de negócios mais coesivos e simplificados e maior valor de API.

As APIs são frequentemente usadas como um vetor de ataque e introduzem um risco de segurança que deve ser abordado. Uma estratégia de API que detalha os padrões de segurança organizacional e como uma organização impedirá o uso indevido de suas APIs pode reduzir esse risco. Ferramentas como API Gateway e técnicas como autenticação ou limitação de taxa são frequentemente usadas para fazer isso.

A limitação de taxa é usada para reduzir o risco de ataques de força bruta ou de ataques de negação de serviço distribuída (DDoS). A limitação de taxa bloqueia ou descarta solicitações que representam um risco de volume e evita que os sistemas sejam inundados com solicitações. Existem funções automatizadas que também podem ser ainda mais precisas. Por exemplo, as Organizações podem estabelecer limites de taxa para determinados endereços IP com alta atividade de solicitações que foram sinalizadas como suspeitas. 

Técnicas de autenticação também são incorporadas à estratégia de segurança de API para garantir que apenas solicitações seguras e aprovadas sejam atendidas. OAuth, ou autorização aberta, é um protocolo que utiliza um token de acesso que concede aos usuários acesso a dados ou serviços previamente aprovados sem a necessidade de fazer login. As chaves de API, que são uma sequência única de caracteres conhecidos apenas pelo cliente e pelo servidor, são outra ferramenta popular que as organizações usam para manter as APIs seguras.

As organizações podem usar plataformas de teste automatizado que verificam continuamente a segurança do sistema para complementar e melhorar a verificação e os testes manuais.

Em uma arquitetura de microsserviços, as aplicações são compostas por muitos componentes menores vagamente acoplados e implementáveis de forma independente. Essas peças de componentes geralmente se comunicam por meio de APIs.

Os microsserviços permitem maior flexibilidade e versatilidade, mas também podem adicionar complicações, incluindo problemas de compatibilidade, problemas de latência devido a maiores quantidades de conexões de rede e aumento do registro de dados. Na verdade, uma arquitetura de microsserviços traz mais liberdade, mas também um aumento na complexidade.

Uma estratégia de API empresarial ajuda a estabelecer a consistência e a descoberta da API necessárias para microsserviços rápidos e eficientes aplicação.

Uma estratégia API-first coloca uma alta prioridade nas APIs como ativos de negócios. Nessa concepção, as APIs são os pilares em torno dos quais os desenvolvedores escrevem o código, em vez de funcionalidades a serem adicionados após o desenvolvimento do software. É uma abordagem popular em estratégias de prioridade digital porque enfatiza a integração e a comunicação entre sistemas corporativos, bancos de dados e aplicações.

Uma estratégia API-first oferece vários benefícios:

• Reduz o risco de redundância da API
  
  
• Promove a reutilização de APIs
  
  
• Torna as APIs detectáveis em um local centralizado para facilitar a pesquisa e a adoção
  
  
• Torna o ecossistema de API mais eficiente
  
  
• Reduz o tempo que os desenvolvedores gastam na depuração do código
  
  
• Permite maior escalabilidade
  
  
• Facilita a manutenção e atualizações da API
  
  
• Oferece uma vantagem comercial competitiva em um mundo com APIs cada vez mais intensas
  
  
• Permite que as equipes de desenvolvimento trabalhem em paralelo em várias APIs ao mesmo tempo, colaborando em tempo real.

As estratégias de API parecem bastante diferentes, dependendo das metas e das necessidades de negócios de cada organização individual. Mas existem alguns conceitos e componentes maiores que contribuem para uma estratégia de API forte, e muitas estratégias de API são criadas usando as seguintes etapas:

O desenvolvimento de estratégia começa com uma pergunta simples: o que a organização está tentando alcançar com suas APIs?

Essas metas devem se encaixar com outras metas definidas pela organização, seja implementar uma transformação digital, otimizar fluxos de trabalho para desenvolvedores, aumentar métricas como base de usuários, experiência do cliente ou monetização, aumentar a eficiência operacional ou, claro, todos acima.

Uma catalogação completa de possíveis casos de uso pode fornecer orientações para uma estratégia eficaz de API.

A organização deseja compartilhar dados facilmente entre as equipes internas? Facilitar para os desenvolvedores a criação e melhoria rápida do software? Conecta clientes ou usuários a dados e serviços? As estratégias de API mudam com base nas necessidades precisas de uma organização, portanto, faz sentido começar com uma pergunta simples: como as APIs serão usadas?

Governança de API refere-se ao conjunto abrangente de padrões, políticas e práticas que orientam como uma organização desenvolve, implementa e utiliza suas APIs.

Idealmente, uma organização delineia primeiro sua governança e depois projeta APIs de acordo com essas regras, e não o contrário. Ao elaborar essa governança, as equipes consideram fatores como as metas organizacionais, as tecnologias existentes e quais tecnologias a organização pode incorporar no futuro.

Uma framework também pode descrever quais tipos de APIs são usados para diferentes caso de uso. Existem vários protocolos de API, estilos arquitetônicos e linguagens diferentes, cada um com seus pontos fortes e fracos. Estes incluem1:

A chamada de procedimento remoto (RPC) é um protocolo que permite a um programa solicitar um serviço de outro programa em um computador diferente usando essencialmente o mesmo código como se estivesse solicitando um serviço localmente.

O RPC fornece o paradigma de comunicação de alto nível usado no sistema operacional. Ele pressupõe a existência de um protocolo de transporte de baixo nível, como o protocolo de controle de transmissão/protocolo de internet (TCP/IP) ou o protocolo de datagrama de usuário (UDP), para transportar os dados da mensagem entre programas de comunicação.

O RPC implementa um sistema lógico de comunicação cliente-servidor projetado especificamente para dar suporte a aplicações de rede. ²

Os tipos de protocolos RPC incluem XML-RPC, JSON-RPC e gRPC.

A transferência de estado representacional (REST) é um conjunto de princípios de arquitetura da API da web. As APIs REST— também conhecidas como APIs RESTful — são APIs que aderem a certas restrições arquitetônicas REST. As APIs REST usam solicitações HTTP como GET, PUT, HEAD e DELETE para interagir com recursos. O REST disponibiliza dados como recursos, com cada recurso representado por um URI exclusivo. Os clientes solicitam um recurso fornecendo seu URI.

APIs REST são sem estado, elas não salvam dados do cliente entre solicitações. É possível construir APIs RESTful com protocolos SOAP, mas os profissionais geralmente veem os dois padrões como especificações concorrentes.

O GraphQL i é uma linguagem de consulta de código aberto e um tempo de execução no lado do servidor que permite que os clientes direcionem exatamente os recursos de que precisam. Ao contrário do REST, que normalmente usa vários endpoints para buscar dados e executar operações de rede, as APIs GraphQL usam um único endpoint GraphQL para oferecer aos clientes uma resposta de dados precisa e abrangente em uma viagem de ida e volta a partir de uma única solicitação, eliminando problemas de busca excessiva e insuficiente.³

No entanto, o GraphQL pode introduzir mais complexidade do que o necessário para aplicações simples.

O Simple Object Access Protocol (SOAP) é uma especificação leve de protocolo de mensagens baseada em XML que permite que os endpoints enviem e recebam dados por meio de uma série de protocolos de comunicação, incluindo SMTP (protocolo de transferência de correio eletrônico simples) e HTTP (protocolo de transferência de hipertexto). SOAP é independente, o que permite que APIs SOAP compartilhem informações entre aplicações ou componentes de software que rodam em ambientes diferentes ou que foram escritos em linguagens diferentes.

Plataformas de gerenciamento de API são ferramentas que são projetadas especificamente para acessar, controlar, distribuir e analisar APIs, tudo em um local completo e centralizado. As Plataformas de gerenciamento de API permitem que as empresas Compartilhe documentação e ferramentas entre as equipes, possam fortalecer a segurança de dados, atender aos padrões de conformidade e governança e apoiar iniciativas de transformação digital.

As Plataformas de gerenciamento de API geralmente incluem um portal do desenvolvedor, que atua como um fornecedor único para os desenvolvedores navegarem, acessarem e compartilhe a documentação de API. Essa solução pode evitar o problema de vários repositórios, bibliotecas extintas e credenciais desconhecidas no desenvolvimento de API e software: é tudo completo.

As plataformas de API também incluem ferramentas analíticas valiosas. Essa plataforma centralizada é usada para monitorar o uso de APIs, o tempo de resposta e o desempenho geral e ajudar a detectar vulnerabilidades de APIs.

Finalmente, o uso de plataformas de gerenciamento de API permite o gerenciamento completo do ciclo de vida da API. O ciclo de vida da API envolve muitos estágios diferentes: criação, desenvolvimento, teste, publicação, manutenção, retirada. Uma plataforma de API pode reunir todas essas etapas em um só lugar, o que ajuda a fornecer às organizações visibilidade em ambientes de API grandes e complexos.

Como as APIs fornecem acesso a dados e serviços, seja para clientes internos ou de terceiros, a segurança deve ser uma consideração importante em todos os estágios de desenvolvimento da estratégia de API. A segurança de API defeituosa pode resultar em ataques cibernéticos, violações de dados e outros acessos não autorizados. Uma estratégia de API deve lidar com como uma organização garantirá que as APIs sejam seguras e compatíveis, detalhando abordagens para autenticação, criptografia, validação, monitoramento, atualizações regulares e mais.

Uma estratégia completa de API inclui planos para o que acontece após a criação das APIs — como elas serão monitoradas, mantidas, analisadas, testadas e atualizadas.

É vital monitorar o uso da API por vários motivos, incluindo:

• Certifique-se de que as APIs estejam funcionando corretamente e livres de bugs
  
  
• Analisar padrões de tráfego para verificar comportamentos incomuns e potencialmente perigosos
  
  
• Confirme se todas as APIs estão atualizadas
  
  
• Fique alerta para possível duplicação
  
  
• Remova APIs que estão extintas ou que foram substituídas

Uma estratégia de API deve detalhar como uma organização promoverá a visibilidade em todo o seu ambiente de API, como os insights das análises e o feedback dos usuários serão incorporados para melhorar o desempenho das APIs, como as atualizações serão implementadas e documentadas e como, se necessário, as APIs serão desativadas.