Startseite

Themen

API-Governance

 Was ist API-Governance?
Entdecken Sie die KI-Governance-Lösung von IBM Für KI-Updates anmelden
Illustration mit Collage aus Piktogrammen von Ausrüstung, Roboterarm, Mobiltelefon

Veröffentlicht: 24. Mai 2024
Mitwirkende: Gita Jackson, Michael Goodwin
Was ist API-Governance?

API-Governance bezieht sich auf die umfassenden Standards, Richtlinien und Praktiken, die bestimmen, wie ein Unternehmen seine APIs (Application Programming Interfaces) entwickelt, einsetzt und nutzt.

Die API-Governance legt das Framework und die Strategie fest, die das API Management bestimmen. Das Ziel von API Governance ist es, auffindbare, sichere, skalierbare und wiederverwendbare APIs zu erstellen. Kurz gesagt, eine effektive API-Governance führt zu qualitativ hochwertigeren, wertvolleren APIs und einer besseren Benutzererfahrung.

API-Governance fördert die Konsistenz innerhalb des API-Ökosystems eines Unternehmens, um sicherzustellen, dass APIs einem gemeinsamen Standard entsprechen und auf die Geschäftsstrategie abgestimmt sind. Diese Standards und Richtlinien werden durch Überprüfungen und Validierungen durchgesetzt. Eine effektive Governance hilft beispielsweise sicherzustellen, dass APIs die Metadaten enthalten, die interne und externe Partner benötigen, um sie problemlos nutzen zu können.

Viele Unternehmen, insbesondere diejenigen, die eine digitale Transformation durchlaufen, müssen Altsysteme mit neueren Systemen integrieren. Durch die Festlegung und Anwendung von Standards für Elemente wie Protokolle und Sprachen trägt die API-Governance dazu bei, dass APIs nahtlos in verschiedenen Umgebungen und Systemen eingesetzt werden können. Governance-Modelle haben oft Untergruppen von Regeln für verschiedene API-Protokolle oder Anwendungsfälle, die es einem Unternehmen ermöglichen, die Governance an spezifische Geschäftsanforderungen und Initiativen anzupassen.

API-Governance trägt auch dazu bei, Redundanzen zu vermeiden (wenn Teams neue Services entwickeln, anstatt bestehende Integrationen wiederzuverwenden) und verhindert, dass ein Unternehmen Services entwickelt oder integriert, die es nicht benötigt. Dies trägt dazu bei, die mit API Management verbundenen Gesamtkosten zu senken. Governance trägt auch dazu bei, übermäßige API-Vielfalt (wenn zahlreiche unabhängig entwickelte und verwaltete APIs über verschiedene Abteilungen verteilt sind) und die Inkonsistenzen und Sicherheitsschwachstellen, die der API-Wildwuchs verursachen kann, zu reduzieren.
Schöpfen Sie das volle Potenzial von APIs mit API Management aus

Gewinnen Sie Erkenntnisse über die wichtigsten Herausforderungen, die den Bedarf an API-Management vorantreiben, und verstehen Sie die zentralen Funktionalitäten einer effektiven API-Managementlösung.
Ähnliche Inhalte IBM Newsletter abonnieren
Warum ist API-Governance wichtig?

API-Governance ist wichtig, weil sie dazu beiträgt, die API-Verfügbarkeit und -Sicherheit zu gewährleisten, da IT-Umgebungen immer komplexer werden und Unternehmen sich immer stärker auf Microservices und Apps (wie SaaS-Lösungen) verlassen, die über verschiedene Umgebungen verteilt sind. API-Governance ermöglicht es einem Unternehmen, Geschäftsfähigkeiten und -funktionen auf sichere Weise offenzulegen und sie für die Nutzung durch interne und externe Clients verfügbar zu machen.

Dies gilt insbesondere für große Unternehmen, von denen viele Tausende von APIs verwenden.1 Eine effektive API-Governance stellt sicher, dass das API-Programm eines Unternehmens effizient und kohärent arbeitet und mit den Geschäftszielen in Einklang steht. So kann ein Unternehmen beispielsweise APIs erstellen, die für die Integration von Altsystemen in zusammengesetzte Services sowie für die Interaktion mit moderneren Anwendungen und Services, die in der Cloud gehostet werden, verwendet werden können.

API-Governance ist auch deshalb wichtig, weil sie dazu beiträgt, Redundanzen zu reduzieren und die Risiken zu mindern, die mit der Ausbreitung von APIs einhergehen. Governance macht es für die Stakeholder einfacher zu wissen, welche Funktionen bereits vorhanden sind (und wie sie genutzt werden können) und welche Funktionen möglicherweise entwickelt werden müssen. API-Governance-Richtlinien tragen zur Standardisierung des API-Designs und der API-Entwicklung bei und gewährleisten, dass neu entwickelte APIs mit anderen modularen APIs zusammenarbeiten. Governance trägt auch dazu bei, dass APIs mit den gesetzlichen Bestimmungen konform bleiben und dass Unternehmen angemessene Sicherheitsmaßnahmen ergreifen und durchsetzen.

API-Governance ist besonders wichtig für Unternehmen, die eine API-First-Strategie verfolgen. Bei einer API-First-Strategie werden APIs als strategische Geschäftsressourcen behandelt, denen während des Entwicklungsprozesses Priorität eingeräumt wird, und nicht als etwas, das erst nach der Anwendungsentwicklung in Angriff genommen wird. Governance-Richtlinien können dazu beitragen, dass alle APIs modular und interoperabel sind und dass alle neuen APIs, die der Umgebung hinzugefügt werden, einen neuen Wert liefern und wie vorgesehen funktionieren.
API-Governance, API-Management und API-Sicherheit

Obwohl diese Begriffe zusammenhängen und für die API-Gesundheit in allen Phasen des API-Lebenszyklus wichtig sind, handelt es sich um unterschiedliche Konzepte. Die API-Governance legt die Standards und Best Practices fest, die eine API-Strategie und ein Framework für die Verwaltung bieten. API Management ist die Umsetzung von API-Governance-Prinzipien für das gesamte API-Portfolio, wobei Kontrolle und Analyse zentralisiert werden. Effektives API Management stellt sicher, dass das Unternehmen Sicherheitsrichtlinien und -protokolle einhält, wie z. B. die Verwendung von OAuth und Verschlüsselung.
API-Verwaltung

API Management gewährleistet Konsistenz und Kontrolle in einer API-Umgebung. Sie ist entscheidend für die Sicherstellung der API-Qualität und hilft Unternehmen, das volle Potenzial von APIs auszuschöpfen. Eine API Management-Plattform zentralisiert die Kontrolle und nutzt eine Reihe von Tools, um die Bereitstellung, Dokumentation und den Informationsaustausch zwischen den Teams zu optimieren.

Management-Plattformen beinhalten oft ein API Gateway, ein Developer Portal, eine API-Dokumentation, einen API-Katalog, Analysetools und eine API-Lifecycle-Management-Komponente. API Management-Plattformen ermöglichen es Unternehmen, APIs schnell zu erstellen, freizugeben, zu überwachen und anzupassen, den Lebenszyklus von Observability zu verbessern, die Reichweite von APIs zu vergrößern, APIs besser zu monetarisieren und vieles mehr.
API-Sicherheit

API-Sicherheit bezieht sich auf die Richtlinien und Verfahren, die die APIs eines Unternehmens vor böswilligen Akteuren, Missbrauch und Cybersicherheits-Bedrohungen schützen. Die in einer API-Governance-Strategie festgelegten Grundsätze dienen als Leitfaden für die API-Sicherheitsrichtlinien.

Sicherheitsrichtlinien könnten zum Beispiel vorschreiben, dass ein API Gateway immer zur Entkopplung von Back-End-Diensten und Front-End-Anwendungen verwendet wird, um SQL-Injection-Angriffe zu verhindern. Die Richtlinie könnte vorschreiben, dass in allen Fällen eine Standard-Authentifizierungsmethode verwendet wird, oder unterschiedliche Methoden für verschiedene Datentypen festlegen.

Eine effektive API-Governance umfasst sowohl das API Management als auch die API-Sicherheit und prägt die Art und Weise, wie ein Unternehmen sie angeht. API-Governance definiert die Richtlinien, die einem Unternehmen helfen, seine APIs effizient zu nutzen. Dazu gehört auch die Festlegung, wie APIs verwaltet und vor Cybersicherheits-Bedrohungen geschützt werden sollen.
Best Practices für API-Governance

Ein umfassender Überblick über die gesamte API-Landschaft eines Unternehmens ist erforderlich, um klare, konsistente API-Standards zu schaffen. Je mehr APIs verwendet werden, desto komplexer kann diese Übung werden. Um eine wirksame Vorgehensweise zu gewährleisten, bemühen sich Unternehmen, beim Governance-Design bestimmte Best Practices zu befolgen, darunter:
Konsistenz

Einer der Hauptgründe für den Einsatz von API-Governance ist es, sicherzustellen, dass die unzähligen APIs, die ein Unternehmen verwendet, qualitativ hochwertig, rationalisiert und standardisiert sind. Dazu könnte die Übernahme eines Kodierungsstandards wie OpenAPI Specification (OAS) gehören, der ein Standardformat für REST APIs definiert. Die Implementierung solcher Standards kann auch die Skalierbarkeit von APIs verbessern.

Es ist auch wichtig, die Metadatenfelder für APIs einheitlich zu gestalten, um sicherzustellen, dass alle APIs leicht auffindbar und wiederverwendbar sind. Unternehmen müssen diese Richtlinien und Verfahren an einem zentralen, zugänglichen Ort aufbewahren, damit jeder im Unternehmen, der darauf zugreifen muss, dies tun kann. Diese Standards sollten unternehmensweit verwendet werden, um sicherzustellen, dass alle APIs während des gesamten API-Lebenszyklus demselben Modell folgen.
Automatisierung

Es wäre eine mühsame Aufgabe zu überprüfen, ob APIs immer den Governance-Richtlinien entsprechen, wenn jemand jede einzelne von Hand überprüfen müsste. Self-Service-Governance-Tools und Anwendungen zum API Management können die Governance-Richtlinien eines Unternehmens in verschiedenen Umgebungen validieren und durchsetzen, und Automatisierung kann den Prozess wesentlich zuverlässiger und effizienter machen.

Durch die Integration automatischer Governance-Prüfungen in die API-Überprüfungsprozesse – z. B. die Sicherstellung, dass die Entwickler ein gemeinsames Datenmodell verwenden – können Unternehmen sicherstellen, dass APIs von der Entwicklung über die Bereitstellung bis hin zur Nutzung die Richtlinien einhalten. Die Automatisierung ist nicht notwendigerweise ein Ersatz für manuelle Überprüfungen – beide zusammen sind am effektivsten – aber die Automatisierung trägt dazu bei, Fehler im Überprüfungsprozess zu vermeiden, die Bereitstellungsgeschwindigkeit zu erhöhen und die Governance-Richtlinien effizienter zu gestalten.
Versionierung

Unternehmen testen, modifizieren, erweitern und setzen APIs häufig neu ein, um sie effizienter zu machen oder Workflows zu optimieren, wenn sich das Unternehmen verändert und skaliert. Um sicherzustellen, dass APIs in allen Versionen mit den Governance-Richtlinien übereinstimmen, und um Änderungen zwischen den Versionen nachzuvollziehen, muss die API-Versionierung rigoros und konsistent sein.

Wenn Sie sicherstellen, dass die API-Iterationen transparent sind und klar abgrenzen, welche Änderungen mit einer früheren Version kompatibel sind und welche nicht, können Sie Zeit, Geld und Kopfschmerzen sparen. Die Einhaltung der Major-, Minor- und Patch-Versionierung gilt als Best Practice.2
Flexibilität

Governance-Strukturen sind nicht sinnvoll, wenn sie so starr sind, dass sie ein Unternehmen daran hindern, APIs zu nutzen, von denen es sonst profitieren würde, oder wenn sie die Entwicklungsgeschwindigkeit erheblich verlangsamen. In manchen Fällen sind Governance-Regeln, die für einen bestimmten Anwendungsfall geschrieben wurden, für einen anderen Anwendungsfall möglicherweise nicht geeignet. Eine API, die beispielsweise in einem internen Entwicklerportal verwendet wird, benötigt möglicherweise andere Protokolle als eine, die für einen öffentlichen Marktplatz gedacht ist.

Ebenso für verschiedene Geschäftsbereiche. Verschiedene Teile eines Unternehmens können dieselben APIs auf unterschiedliche Weise nutzen. Ein Team könnte zum Beispiel einen maßgeschneiderten Fehlercode benötigen, wenn bestimmte Bedingungen ausgelöst werden, die für andere Teams nicht relevant oder notwendig sind. Governance-Richtlinien sollten flexibel genug sein, um solche Ausnahmen zuzulassen, und sollten DevOps und anderen agilen Methoden nicht im Wege stehen.
Stärkung des Teams

Damit API-Governance-Richtlinien wie beabsichtigt funktionieren, müssen Unternehmen DevOps-Teams und andere Beteiligte befähigen, sie ohne Eingreifen von außen umzusetzen. Die Durchsetzung von Governance-Richtlinien kann Schulungen, die Entwicklung neuer API-Tools zur Erleichterung der Governance und die Bereitstellung von Informationen über Governance-Richtlinien umfassen, die so zugänglich wie möglich sind. In einer API-First-Umgebung ist diese Ebene der Auffindbarkeit besonders wichtig.
Herausforderungen der API-Governance

Im Zuge der digitalen Transformation werden Unternehmen wahrscheinlich eine größere Anzahl von APIs verwenden. Die Verwaltung eines komplexen Portfolios von APIs mit vielen Abhängigkeiten kann es kompliziert machen, übergreifende API-Governance-Richtlinien zu erstellen, ohne Kreativität und Entwicklung zu behindern. Die Automatisierung von Teilen des Governance-Prozesses, wie der API-Bereitstellung und Überwachung, Kontrollen und Validierung, kann dazu beitragen, diesen Aspekt der API-Governance zu optimieren. Automatisierung kann auch dazu beitragen, die Konsistenz der Governance-Richtlinien und -Strategien eines Unternehmens zu fördern, wenn die API-Umgebung immer komplexer wird.

Eine weitere große Herausforderung bei der API-Governance ist die Erstellung von Sicherheitsrichtlinien zum Schutz der APIs eines Unternehmens. API-Sicherheitsverletzungen können zu folgenschweren Datenlecks und anderen Vorfällen führen, die das Unternehmen – und die Kunden – in Gefahr bringen. Der Einbau robuster Sicherheitsrichtlinien in die API-Verwaltung und die Implementierung automatischer Kontrollen, um sicherzustellen, dass die Richtlinien befolgt werden, können dazu beitragen, sensible Daten zu schützen und den reibungslosen Betrieb der Systeme aufrechtzuerhalten.

Schlechte API-Governance-Richtlinien können die Entwicklung ebenfalls behindern, da sie zusätzliche Schritte in den Entwicklungsprozess einführen. Indem Sie sicherstellen, dass Governance-Richtlinien und -Kontrollen in allen Phasen des Lebenszyklus einer API durchgeführt werden, kann ein Unternehmen Engpässe vermeiden, die entstehen, wenn Compliance-Kontrollen sporadisch oder nur vor der Bereitstellung durchgeführt werden.

Die Formulierung von Governance-Richtlinien mit Blick auf Flexibilität und Eigenverantwortung trägt ebenfalls zur Abschwächung dieser Herausforderung bei, ebenso wie die Einsicht, dass Governance-Führungskräfte Governance-Richtlinien überprüfen, testen und ändern sollten, wenn sie nicht wie beabsichtigt funktionieren.
Vorteile der API-Governance

Die API-Governance legt Best Practices und Standards fest, die Unternehmen beim Aufbau von API-Umgebungen helfen, die Innovation und Wachstum fördern. Ordnungsgemäß umgesetzte Richtlinien schaffen eine konsistente, sichere Umgebung, die es einem Unternehmen ermöglicht, sowohl Altsysteme und Datenbanken zu integrieren als auch neue zusammengesetzte Services aufzubauen.

Darüber hinaus kann API-Governance folgende Aktionen ausführen:
Standardisierung fördern

Governance stellt sicher, dass APIs nach einem einheitlichen Standard erstellt werden. Die Standardisierung erleichtert die Integration von Workflows, fördert die Wiederverwendung von APIs, beschleunigt die Entwicklung neuer Services, fördert die Einhaltung von APIs, die Monetarisierung und vieles mehr. Im Allgemeinen hilft es sowohl Im Allgemeinen hilft es sowohl internen als auch externen Kunden, den größten Nutzen aus den APIs eines Unternehmens zu ziehen.
Steigerung der Produktivität

API-Governance hilft einem Unternehmen, bestehende Systeme zu integrieren und neue Workflows aufzubauen, die Geschäftsprozesse rationalisieren, eine ständig wachsende Datenmenge nutzen und besser ausgestattete, produktivere Teams ermöglichen. Richtig umgesetzt, kann Governance die Entwicklung neuer APIs und Services rationalisieren und die Auffindbarkeit bestehender APIs verbessern, anstatt die Innovation zu verlangsamen. Diese integrierten Funktionen helfen Teams, produktiver zu arbeiten.
Übermäßige API-Ausbreitung reduzieren

APIs, die über verschiedene Abteilungen und Architekturen verteilt sind, können ohne eine einheitliche API-Plattform und -Strategie zu Inkonsistenzen und Sicherheitslücken führen. Governance hilft, den API-Wildwuchs einzudämmen.
Redundanzen beseitigen

Redundanz entsteht, wenn Teams neue Services entwickeln, anstatt bestehende Services und Integrationen zu nutzen. API-Governance hilft, unnötige Komplexität zu vermeiden und stellt sicher, dass sich die Entwickler auf Projekte konzentrieren, die einen Mehrwert schaffen.
Stärkung der Sicherheit

Eine Governance, die Sicherheitsprotokolle und -richtlinien umreißt, hilft einem Unternehmen, seine APIs zu sichern, die ein häufiger Angriffsvektor für Hacker und andere Bedrohungen der Cybersicherheit sind. 

So kann beispielsweise eine strenge Versionierung und Dokumentation verhindern, dass Teams versehentlich eine veraltete Version einer API bereitstellen. API-Governance-Richtlinien können auch die API-Authentifizierung, -Autorisierung und -Zugangskontrolle definieren, um sicherzustellen, dass nur die richtigen Parteien auf eine API zugreifen können.

Da sich die Bedrohungen für die Cybersicherheit ständig weiterentwickeln, gilt es als Best Practice, die Sicherheitsprotokolle regelmäßig zu überprüfen und zu aktualisieren, um sie an die moderne Bedrohungslandschaft anzupassen.
Weiterführende Lösungen
API-Manager von IBM® API Connect®

Die Benutzeroberfläche des API-Managers in IBM API Connect unterstützt Sie bei der Organisation, Veröffentlichung und Analyse jeder API über den gesamten API-Lebenszyklus. Hier finden Sie Funktionalitäten für Governance, Versionssteuerung und uneingeschränkte Kontrolle über die Sichtbarkeit bei internen und externen Kunden.

 Erkunden Sie den API-Manager von IBM API Connect Buchen Sie eine Live-Demo
IBM API Connect

IBM API Connect ist eine Lösung für das Management des gesamten Lebenszyklus Ihrer API, die über eine intuitive Benutzeroberfläche die konsistente Erstellung, Verwaltung, Zurverfügungstellung und Monetarisierung von APIs ermöglicht und so die digitale Transformation lokal und in der Cloud unterstützt. So können Sie und Ihre Kunden digitale Apps nutzen und Innovationen in Echtzeit vorantreiben. 

 IBM API Connect entdecken IBM API Connect kostenlos testen
IBM iPaaS-Lösungen

IBM iPaaS (Integrationsplattform as a Service) bietet einen intuitiven, modularen Ansatz für die nahtlose Integration und Verbindung aller Ihrer Anwendungen und Daten – unabhängig davon, wo diese sich befinden. Mit flexiblen Tools für Anwendungsintegration, Datenintegration, B2B-Integration und Prozessautomatisierung können Unternehmen die Time-to-Value mit sofort einsatzbereiten Konnektoren und Vorlagen beschleunigen, die Flexibilität zur Unterstützung des gesamten Spektrums Ihrer Anwendungs- und Datenanforderungen nutzen und vieles mehr.

 Erkunden Sie IBM iPaaS Lösungen Fordern Sie eine Live-Demo von IBM App Connect an
IBM Integrationssoftware und -lösungen

Verbinden, automatisieren und erschließen Sie Geschäftspotenziale mit Software für Integrationsplattformen. Mit IBM Integrationslösungen können Sie Anwendungen und Systeme miteinander verbinden, um kritische Daten schnell und sicher freizuschalten.

 Erkunden Sie die IBM Integrationslösungen Fordern Sie eine Live-Demo zu API Connect an
Ressourcen Was ist eine REST-API?

Eine REST-API (auch RESTful-API oder RESTful-Web-API genannt) ist eine Programmierschnittstelle, die den Designprinzipien des Architekturstils „Representational State Transfer“ (REST) entspricht.

 Hintergrundinformationen zu IBM API Connect

Verschaffen Sie sich einen technischen Überblick über IBM API Connect, seine API-Lebenszyklusphasen und seine wichtigsten Produktkomponenten.

Gartner Magic Quadrant 2023

Gartner ernennt IBM zum achten Mal in Folge zum führenden Anbieter im Gartner® Magic Quadrant® 2023 für Full Lifecycle API Management.

 Gartner Critical Capabilities 2023

Gartner hat IBM im Bericht „Critical Capabilities for API Management 2023“ als Leader eingestuft.
Machen Sie den nächsten Schritt

Verwenden Sie IBM API Connect, um Unternehmens-APIs über ihre gesamten Lebenszyklen hinweg zu sichern und zu verwalten. Es hilft Ihnen und Ihren Kunden, Unternehmens-APIs konsistent zu erstellen, zu verwalten, zu sichern, zu sozialisieren und zu monetarisieren, und ist ebenfalls als hoch skalierbare API Management-Plattform auf IBM Marketplace und AWS verfügbar.

 API Connect entdecken Buchen Sie eine Live-Demo
Fußnoten

1 “The 2022 API Security Trends Report” (Link befindet sich außerhalb von ibm.com), 451 Research, nonamesecurity.com, 2022.

2 Versioning of APIs” (Link befindet sich außerhalb von ibm.com), International Image Interoperability Framework.