24 de mayo de 2024
El gobierno de las API hace referencia al conjunto integral de estándares, políticas y prácticas que dirigen la forma en que una organización desarrolla, implementa y utiliza sus API (interfaces de programación de aplicaciones).
El gobierno de las API establece el marco y la estrategia que informan la gestión de las API. El objetivo del gobierno de las API es producir API detectables, seguras, escalables y reutilizables. En resumen, un gobierno eficaz de las API produce API de mayor calidad y valor y una mejor experiencia para el usuario.
El gobierno de las API promueve la coherencia dentro del ecosistema de las API de una organización para garantizar que las API se adhieren a una norma común y se alinean con la estrategia empresarial. Estas normas y políticas se aplican mediante comprobaciones y validaciones. Por ejemplo, un gobierno eficaz ayuda a garantizar que las API contengan los metadatos necesarios para que los socios internos y externos las utilicen fácilmente.
Muchas organizaciones, especialmente las que están experimentando una transformación digital, necesitan integrar los sistemas heredados con los más nuevos. Al establecer y aplicar estándares para elementos como los protocolos y los lenguajes, el gobierno de las API ayuda a garantizar que las API puedan funcionar sin problemas en diferentes entornos y sistemas. Los modelos de gobierno suelen tener subconjuntos de reglas para diferentes protocolos de las API o casos de uso que permiten a una organización adaptar el gobierno en función de necesidades e iniciativas empresariales específicas.
El gobierno de las API también ayuda a reducir la redundancia (cuando los equipos crean nuevos servicios en lugar de reutilizar las integraciones existentes) y evita que una organización desarrolle o integre servicios que no necesita. Esto ayuda a reducir los costes generales asociados a la gestión de las API. El gobierno también ayuda a reducir la dispersión de API (cuando numerosas API desarrolladas y gestionadas de forma independiente se distribuyen entre varios departamentos) y las incoherencias y vulnerabilidades de seguridad que puede causar la dispersión de las API.
Mantenga su cabeza en la nube
Reciba el boletín semanal Think para obtener orientación de expertos sobre cómo optimizar la configuración multinube en la era de la IA.
El gobierno de las API es importante porque ayuda a garantizar la disponibilidad y la seguridad de las API a medida que los entornos de TI se vuelven más complejos y las organizaciones dependen más de microservicios y aplicaciones (como las soluciones SaaS) distribuidas en varios entornos. El gobierno de las API permite a una organización exponer de forma segura las capacidades y funciones empresariales, poniéndolas a disposición de los clientes internos y externos para su consumo.
Esto es especialmente cierto para las grandes empresas, muchas de las cuales utilizan miles de API1. Un gobierno eficaz de las API garantiza que el programa de API de una organización funcione de manera eficiente y coherente, y se alinee con los objetivos empresariales. Por ejemplo, permite a una organización crear API que pueden utilizarse para integrar sistemas heredados en servicios compuestos, así como para interactuar con aplicaciones y servicios más modernos alojados en la nube.
El gobierno de las API también es importante porque ayuda a reducir la redundancia y mitigar los riesgos que acompañan a la expansión de las API. El gobierno facilita a las partes interesadas saber qué capacidades ya existen (y cómo utilizarlas) y qué funciones podrían necesitar desarrollarse. Las políticas de gobierno de API ayudan a estandarizar el diseño y el desarrollo de las API, garantizando que las API recién desarrolladas funcionen en concierto con otras API modulares. El gobierno también ayuda a garantizar que las API sigan cumpliendo con los organismos reguladores y que las organizaciones promulguen y apliquen medidas de seguridad adecuadas.
El gobierno de las API es especialmente importante para las organizaciones que persiguen una estrategia de API primero. En una estrategia de API primero, las API se tratan como activos empresariales estratégicos a los que se da prioridad durante el proceso de desarrollo, en lugar de como algo a lo que hay que atender después del desarrollo de la aplicación. Las políticas de gobierno pueden ayudar a garantizar que todas las API sean modulares e interoperables, y que cualquier nueva API que se añada al entorno aporte un nuevo valor y funcione según lo previsto.
Aunque estos términos están relacionados y son esenciales para el estado de la API en todas las fases del ciclo de vida de la API, son conceptos distintos. El gobierno de las API establece las normas y buenas prácticas que proporcionan una estrategia y un marco de gestión de las API. La gestión de las API es la aplicación de los principios de gobierno de las API en todo el portfolio de API, centralizando el control y el análisis. Una gestión eficaz de las API garantiza que la organización siga las políticas y protocolos de seguridad, como el uso de OAuth y el cifrado.
Gestión de API
La gestión de las API garantiza la coherencia y el control en todo un entorno de API. Es crucial para garantizar la calidad de las API y ayudar a las organizaciones a liberar todo el potencial de las API. Una plataforma de gestión de las API centraliza el control y utiliza un conjunto de herramientas para optimizar la implementación, la documentación y el intercambio de información entre equipos.
Las plataformas de gestión suelen incluir una pasarela API, un portal para desarrolladores, documentación de API, un catálogo de API, herramientas de análisis y un componente de gestión del ciclo de vida de la API. Las plataformas de gestión de las API permiten a las organizaciones crear, compartir, monitorizar y ajustar rápidamente las API, obtener una mayor observabilidad del ciclo de vida, ampliar el alcance de las API, monetizar mejor las API y mucho más.
Seguridad de API
La seguridad de las API se refiere a las políticas y procedimientos que protegen las API de una organización contra actores maliciosos, uso indebido y amenazas de ciberseguridad. Los principios establecidos en una estrategia de gobierno de las API guían las políticas de seguridad de las API.
Por ejemplo, las políticas de seguridad pueden dictar que siempre se utilice una pasarela API para desacoplar los servicios de back-end y las aplicaciones de front-end para ayudar a bloquear los ataques de inyección SQL. La política puede requerir que se utilice un método de autenticación estándar en todos los casos, o definir diferentes métodos para diferentes tipos de datos.
El gobierno eficaz de las API abarca y da forma a la forma en que una empresa aborda tanto la gestión de las API como la seguridad de las API. El gobierno de las API define las políticas que ayudan a una organización a utilizar sus API de manera eficiente, lo que incluye determinar cómo gestionar las API y mantenerlas a salvo de las amenazas de ciberseguridad.
Se necesita una visión completa de todo el panorama de API de una organización para crear estándares de API claros y coherentes. Cuantas más API se utilicen, más complejo puede volverse este ejercicio. Para garantizar políticas eficaces, las organizaciones pretenden seguir ciertas prácticas recomendadas en su diseño de gobierno, entre ellas:
Coherencia
Una de las principales razones para emplear el gobierno de las API es garantizar que la miríada de API que utiliza una organización sea de alta calidad, racionalizada y estandarizada. Esto podría incluir la adopción de una norma de codificación como la especificación OpenAPI (OAS), que define un formato estándar para las API REST. La aplicación de estas normas también puede mejorar la escalabilidad de una API.
También es importante que los campos de metadatos de las API sean coherentes para garantizar que todas las API sean fácilmente detectables y reutilizables. Las organizaciones deben almacenar estas políticas y procedimientos en un lugar centralizado y accesible para que todas las personas de la organización que necesiten acceder a ellos puedan hacerlo. Estos estándares deben utilizarse en toda la empresa para garantizar que todas las API sigan el mismo modelo durante todo el ciclo de vida de las API.
Automatización
Comprobar que las API siempre cumplen las directrices de gobierno sería una tarea ardua si alguien tuviera que comprobar cada una de ellas manualmente. Las herramientas de gobierno de autoservicio y las aplicaciones de gestión de las API pueden validar y aplicar las políticas de gobierno de una organización en todos los entornos, y la automatización puede hacer que el proceso sea mucho más fiable y eficiente.
Al incorporar comprobaciones automatizadas de gobierno en los procesos de revisión de las API (por ejemplo, garantizando que los desarrolladores utilicen un modelo de datos común), las organizaciones pueden asegurarse de que las API se adhieren a las directrices desde el desarrollo hasta la implementación y el uso. La automatización no sustituye necesariamente a las revisiones manuales (las dos son más eficaces juntas), pero la automatización ayuda a eliminar errores del proceso de inspección, aumentar la velocidad de entrega y hacer que las políticas de gobierno sean más eficientes.
Versiones
Las organizaciones a menudo prueban, modifican, amplían y reimplementan las API para hacerlas más eficientes o para optimizar los flujos de trabajo a medida que el negocio cambia y escala. Para garantizar que las API cumplan con las políticas de gobierno en todas las versiones y para rastrear los cambios entre versiones, el control de versiones de las API debe ser riguroso y consistente.
Asegurarse de que las iteraciones de las API sean transparentes y delimiten claramente los cambios que son o no compatibles con una versión anterior ayuda a ahorrar tiempo, dinero y dolores de cabeza. El seguimiento de las versiones principales, secundarias y de parche se considera una buena práctica.2
Flexibilidad
Las estructuras de gobierno no son útiles si son tan rígidas que impiden a una organización utilizar las API de las que de otro modo se beneficiaría, o si ralentizan considerablemente la velocidad de desarrollo. En algunos casos, las reglas de gobierno escritas con un caso de uso en mente pueden no ser apropiadas para otro caso de uso. Por ejemplo, una API que se utiliza en un portal interno para desarrolladores puede necesitar protocolos diferentes a los de una destinada a un mercado público.
Lo mismo ocurre con las distintas líneas de negocio. Diferentes partes de una organización pueden utilizar las mismas API de diferentes maneras. Por ejemplo, un equipo puede necesitar un código de error personalizado cuando se activan ciertas condiciones que no son relevantes o necesarias para otros equipos. Las políticas de gobierno deben ser lo suficientemente flexibles como para permitir tales excepciones y no deben obstaculizar DevOps y otras metodologías ágiles.
Capacitación
Para que las políticas de gobierno de API funcionen según lo previsto, las organizaciones deben capacitar a los equipos de DevOps y otras partes interesadas para implementarlas sin intervención externa. Hacer cumplir las políticas de gobernanza puede implicar formación, crear nuevas herramientas API para facilitar el gobierno y hacer que la información sobre las políticas de gobierno sea lo más accesible posible. En un entorno de primero API, este nivel de capacidad de descubrimiento es especialmente importante.
A medida que las organizaciones avancen en su transformación digital, probablemente utilizarán una mayor cantidad de API. Administrar una cartera compleja de API, con muchas dependencias, puede complicar la creación de políticas generales de gobierno de las API sin sofocar la creatividad y el desarrollo. La automatización de partes del proceso de gobierno, como la implementación y la monitorización de API, las verificaciones y la validación, puede ayudar a agilizar este aspecto del gobierno de las API. La automatización también puede ayudar a promover la coherencia entre las políticas y estrategias de gobernanza de una empresa a medida que el entorno de API se vuelve más complejo.
Otro desafío importante en el gobierno de las API es crear políticas de seguridad que protejan las API de una empresa. Las violaciones de seguridad de las API pueden provocar fugas de datos y otros incidentes que ponen en riesgo el negocio y los clientes. La incorporación de políticas de seguridad sólidas en el gobierno de las API y la implementación de controles automatizados para garantizar que se cumplan las políticas pueden ayudar a proteger datos confidenciales y mantener los sistemas en funcionamiento sin problemas.
Las políticas de gobierno de las API deficientes también pueden ser un obstáculo para el desarrollo, ya que introducen pasos adicionales en el proceso de desarrollo. Al asegurarse de que las políticas y comprobaciones de gobierno se producen en todas las fases del ciclo de vida de una API, una organización puede evitar los cuellos de botella que se crean cuando las comprobaciones de cumplimiento se producen esporádicamente o sólo antes de la implantación.
Redactar políticas de gobierno teniendo en cuenta la flexibilidad y la capacitación también ayuda a mitigar este desafío, al igual que comprender que los líderes de gobierno deben revisar, probar y cambiar las políticas de gobierno si no funcionan según lo previsto.
El gobierno de las API establece las mejores prácticas y estándares que ayudan a las organizaciones a crear entornos de API que impulsan la innovación y el crecimiento. Las políticas implementadas correctamente crean un entorno consistente y seguro que permite a una organización integrar sistemas y bases de datos heredados, así como también crear nuevos servicios compuestos.
Además, el gobierno de las API puede:
El gobierno garantiza que las API se construyan con un estándar coherente. La estandarización facilita la integración de flujos de trabajo, promueve la reutilización de las API, acelera el desarrollo de nuevos servicios, promueve el cumplimiento de las API, la monetización y más. En general, ayuda a los clientes internos y externos a obtener el máximo valor de las API de una organización.
El gobierno de las API ayuda a una organización a integrar los sistemas existentes y crear nuevos flujos de trabajo que agilicen los procesos empresariales, aprovechen un volumen de datos cada vez mayor y permitan contar con equipos mejor equipados y más productivos. Cuando se implementa correctamente, el gobierno puede agilizar el desarrollo de nuevas API y servicios, y hacer que los existentes sean más reconocibles, en lugar de ralentizar la innovación. Estas funciones integradas ayudan a los equipos a ser más productivos.
Las API distribuidas en departamentos y arquitecturas sin una plataforma y una estrategia de API unificadas pueden crear inconsistencias y vulnerabilidades de seguridad. El gobierno ayuda a mantener bajo control la proliferación de las API.
La redundancia se produce cuando los equipos crean nuevos servicios en lugar de aprovechar los servicios e integraciones existentes. El gobierno de las API ayuda a eliminar la complejidad innecesaria y garantiza que los esfuerzos de los desarrolladores se centren en proyectos que añaden valor.
El gobierno que describe los protocolos y políticas de seguridad ayuda a una organización a asegurar sus API, que son un vector de ataque común utilizado por los hackers y otras amenazas de ciberseguridad.
Por ejemplo, un control de versiones y una documentación rigurosos pueden evitar que los equipos implementen accidentalmente una versión anticuada de una API. Las políticas de gobierno de las API también pueden definir la autenticación, la autorización y el control de acceso de las API para garantizar que solo las partes adecuadas pueden acceder a una API.
Dado que las amenazas a la ciberseguridad evolucionan constantemente, se considera una buena práctica revisar y actualizar periódicamente los protocolos de seguridad para reflejar el panorama moderno de las amenazas.
Recursos
Integre sus aplicaciones y automatice el trabajo con la plataforma multinube híbrida IBM webMethods.
Desbloquee el potencial empresarial con las soluciones de integración de IBM, conectando aplicaciones y sistemas para acceder a datos críticos de forma rápida y segura.
Desbloquee nuevas capacidades e impulse la agilidad empresarial con los servicios de consultoría de nube de IBM. Descubra cómo cocrear soluciones, acelerar la transformación digital y optimizar el rendimiento mediante estrategias de nube híbrida y colaboraciones con expertos.