Evolución de las arquitecturas de Software

 

Las empresas generalmente usan el software para estandarizar las comunicaciones y unificar la cultura corporativa; Elegir la solución correcta requiere que se considere el efecto que tendrá en las capacidades de colaboración y la eficiencia operativa de la misma.

Seleccionar la arquitectura correcta implica evaluar los puntos débiles de una organización, para poder compararlas con las capacidades de cada solución que se ha escogido.

Además, también es importante entender hacia donde se dirige, es por esto que hoy queremos hablarte un poco más de la Evolución de las Arquitecturas del Software, de cómo funcionaron y cómo funcionan hoy, en este video corto entenderás los factores esenciales que han logrado la innovación continua en la arquitectura.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

ANDICOM 2022

ANDICOM2022 Impulso digital


Sabíamos que los principales actores de la industria TIC estarían reunidos en un solo lugar, Colombia Cartagena de Indias el 31 de agosto, 1 y 2 de septiembre en la feria de tecnología más grande e importante de la región, es por esto que TICXAR se preparó para estar allí con su aliado WSO2.

Este espacio nos permitió volver a conectar con nuestros clientes y compañeros de trabajo, renovar nuestra confianza en el sector y reafirmar como compañía, pero sobre todo como país que tenemos todo el potencial para construir y ejecutar una transformación digital competitividad, efectiva y a la medida de las organizaciones.

Durante el evento tuvimos la oportunidad de participar activamente, esto nos permitió llegar a más personas y hablares de cómo podemos ayudar a través de la tecnología.

A continuación, te compartimos las principales novedades de nuestra agenda en ANDICOM2022:

    1. Conferencia del CTO de WSO2 Eric Newcomer: Delivering Digital Experiences: Why the Right Platform is Key.
    2. Business Forum del CEO de TICXAR Andrés Piza: Descubra como un empresa líder en Colombia construyó su arquitectura tecnológica enfocada en el uso de APIs

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

¿Qué es DevSecOps?

DevSecOps

DevSecOps significa desarrollo, seguridad y operaciones. Se trata de un enfoque que aborda la cultura, la automatización y el diseño de plataformas, e integra la seguridad como una responsabilidad compartida durante todo el ciclo de vida de la TI.

Diferencias entre DevSecOps y DevOps

DevOps no solo concierne a los equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones.

¿A qué se debe? Antes, el papel de la seguridad estaba aislado y a cargo de un equipo específico en la etapa final del desarrollo. Cuando los ciclos de desarrollo duraban meses o incluso años, no pasaba nada. Pero eso quedó en el pasado. Una metodología efectiva de DevOps garantiza ciclos de desarrollo rápidos y frecuentes (a veces de semanas o días), pero las prácticas de seguridad obsoletas pueden revertir incluso las iniciativas de DevOps más eficientes.

Actualmente, en el marco de trabajo en colaboración de DevOps, la seguridad es una responsabilidad compartida e integrada durante todo el proceso. Puesto que es un enfoque tan importante, se acuñó el término “DevSecOps” para enfatizar la necesidad de crear una base de seguridad en las iniciativas de DevOps.
Esta nueva práctica implica pensar desde el principio en la seguridad de las aplicaciones y de la infraestructura. También implica automatizar algunas puertas de seguridad para impedir que se ralentice el flujo de trabajo de DevOps. A fin de cumplir con estos objetivos, es necesario seleccionar las herramientas adecuadas para integrar la seguridad de manera permanente, como acordar el uso de un entorno de desarrollo integrado (IDE) con funciones que permitan proteger los sistemas. Sin embargo, la seguridad efectiva de DevOps requiere más que herramientas nuevas; se basa en los cambios culturales de DevOps para integrar el trabajo de los equipos de seguridad lo antes posible.

Ya sea que lo llame “DevOps” o que prefiera “DevSecOps” para incorporar en el nombre la seguridad, lo ideal siempre ha sido incluirla como parte integral de todo el ciclo de vida de la aplicación. El término DevSecOps no se refiere a un perímetro de seguridad que rodea las aplicaciones y los datos, sino a la seguridad integrada. Si esta sigue quedándose al final del proceso de desarrollo, las empresas que adoptan DevOps corren el riesgo de volver a los largos ciclos que pretendían evitar desde el principio.

En parte, DevSecOps destaca la necesidad de que los equipos y los partners de seguridad adopten las iniciativas de DevOps desde el comienzo para incorporar medidas de protección de la información y establecer un plan para automatizarlas. También subraya la necesidad de ayudar a los desarrolladores a escribir códigos teniendo en cuenta la seguridad, lo cual implica que los equipos de seguridad compartan su perspectiva, los comentarios y la información valiosa sobre las amenazas conocidas. Posiblemente esto también implique que los desarrolladores tengan que capacitarse en seguridad, ya que el método tradicional para desarrollar aplicaciones no siempre ha hecho hincapié en el tema.

¿Qué significa la seguridad integrada en concreto? Para empezar, una buena estrategia de DevSecOps implica determinar la tolerancia a los riesgos y realizar un análisis de riesgos y beneficios al respecto. ¿Qué cantidad de controles de seguridad es necesaria en cierta aplicación? ¿Qué tan importante es la velocidad de comercialización para diferentes aplicaciones? La automatización de las tareas repetidas es clave para DevSecOps, ya que la ejecución de comprobaciones de seguridad manuales en el proceso puede requerir mucho tiempo.

La seguridad de DevOps está automatizada


Adopte ciclos de desarrollo cortos y frecuentes, integre medidas de seguridad con una interrupción mínima de las operaciones, manténgase al día con las tecnologías innovadoras (como los contenedores y los microservicios) y, al mismo tiempo, fomente una colaboración más estrecha entre los equipos que suelen estar aislados, lo cual es una tarea difícil para cualquier empresa. Todas estas iniciativas comienzan a nivel humano, con los pormenores de la colaboración en su empresa, pero la automatización facilita esos cambios humanos en un marco de DevSecOps.

¿Pero qué conviene automatizar y cómo se puede hacer? Hay una guía escrita que lo ayudará a responder estas preguntas. Las empresas deben dar un paso atrás y considerar todo el entorno de desarrollo y operaciones. Esto incluye los repositorios de control de código fuente, los registros de contenedores, el canal de integración e implementación continuas (CI/CD), la gestión de la interfaz de programación de aplicaciones (API), la organización y la automatización de los lanzamientos, y la gestión y la supervisión de las operaciones.

Las nuevas tecnologías de automatización han ayudado a que las empresas adopten prácticas de desarrollo más ágiles y también han contribuido a impulsar la creación de nuevas medidas de seguridad. Pero la automatización no es lo único que ha cambiado en el panorama de TI durante los últimos años; las tecnologías nativas de la nube, como los contenedores y los microservicios, son ahora una parte importante de la mayoría de las iniciativas de DevOps, y la seguridad de la plataforma debe adaptarse para cumplir con ellas.

 

La seguridad de DevOps se diseñó para los contenedores y los microservicios


La mayor escalabilidad y la infraestructura más dinámica habilitadas por los contenedores han cambiado la forma de hacer negocios de muchas empresas. Debido a esto, las prácticas de seguridad de DevOps deben adaptarse al nuevo panorama y ajustarse a las pautas de seguridad específicas de los contenedores.

Las tecnologías nativas de la nube no son adecuadas para las listas de verificación y las políticas de seguridad estáticas. Por el contrario, la seguridad debe ser constante y estar integrada en cada etapa del ciclo de vida de la aplicación y la infraestructura.

DevSecOps significa integrar la seguridad al desarrollo de las aplicaciones durante todo el proceso. No solo requiere incorporar las nuevas herramientas, sino también adoptar un enfoque organizativo distinto. Los equipos de DevOps deben tener esto en cuenta al automatizar la seguridad para proteger el entorno y los datos por completo, así como el proceso de integración y distribución continuas. Este objetivo seguramente incluya la seguridad de los microservicios en contenedores.

Mire esta serie de webinars para conocer la opinión de los especialistas sobre la seguridad de toda la pila de aplicaciones en contenedores y su ciclo de vida.

Seguridad del entorno y de los datos

  • Estandarice y automatice el entorno: los servicios deben tener la menor cantidad de privilegios posible para reducir las conexiones y los accesos no autorizados.
    Centralice las funciones de control de acceso y de identidad de los usuarios: el control de acceso estricto y los mecanismos de autenticación centralizados son fundamentales para proteger los microservicios, ya que la autenticación se inicia en varios puntos.
  • Aísle de la red y entre sí aquellos contenedores que ejecutan microservicios: abarca tanto los datos en tránsito como en reposo, ya que ambos pueden ser objetivos valiosos para los atacantes.
  • Cifre los datos entre las aplicaciones y los servicios: una plataforma de organización de contenedores con funciones de seguridad integradas disminuye las posibilidades de accesos no autorizados.
  • Incorpore puertas de enlace de API seguras: las API seguras aumentan el control de los enrutamientos y las autorizaciones. Al disminuir la cantidad de API expuestas, las empresas pueden reducir las superficies de ataque.

Seguridad del proceso de CI/CD

  • Integre análisis de seguridad para los contenedores: estos deberían ser parte del proceso para agregar contenedores al registro.
  • Automatice las pruebas de seguridad en el proceso de integración continua: esto incluye ejecutar herramientas de análisis de seguridad estática como parte de las compilaciones, así como examinar las imágenes de contenedores prediseñadas para detectar puntos vulnerables de seguridad conocidos a medida que se incorporan al canal de diseño.
  • Incorpore pruebas automatizadas para las funciones de seguridad al proceso de pruebas de aceptación: automatice las pruebas de validación de los datos de entrada, así como las funciones de verificación, autenticación y autorización.
  • Automatice las actualizaciones de seguridad, como la aplicación de parches para los puntos vulnerables conocidos: lleve a cabo este proceso mediante el canal de DevOps. Esto elimina la necesidad de que los administradores inicien sesión en los sistemas de producción mientras crean un registro de cambios documentado y rastreable.
  • Automatice las funciones de gestión de la configuración de los sistemas y los servicios: de esta manera, podrá cumplir con las políticas de seguridad y eliminar los errores manuales. También se recomienda automatizar los procesos de auditoría y corrección. 

Esta información fue tomada de la página de RedHat

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Capacidades críticas para la gestión de API de ciclo de vida completo

Las soluciones de gestión de API de ciclo de vida completo permiten a los usuarios crear, ejecutar y gobernar una estrategia de API eficaz, pero seleccionar el producto adecuado es difícil. Los líderes en ingeniería de software deben utilizar esta investigación para evaluar las capacidades de 17 soluciones de proveedores en cinco casos de uso.

Visión general

  • A medida que los desarrolladores han adoptado enfoques centrados en API para el desarrollo de aplicaciones y servicios, las herramientas de gestión de API han ganado protagonismo. Las organizaciones suelen utilizar varios productos para la gestión de API internas y externas y les resulta difícil seleccionar la tecnología adecuada para sus necesidades.
  • Vendedores completos de gestión del ciclo de vida de la API están madurando sus capacidades para el control de acceso a la API y la flexibilidad de implementación, mientras que sus monetización de la API de informes, el valor del negocio, y microservicios y soporte de malla servicio son por lo general les s maduro.
  • La mayoría de las implementaciones de administración de API se dividen en cinco casos de uso: arquitectura multiexperiencia, integración mediante API, administración interna de API, producción de API y banca abierta.
  • Proveedores de gestión de API están adaptando sus plataformas para nuevos escenarios mediante la adición de soporte para nuevas tecnologías (tales como API API abierta , AsyncAPI y GraphQL ) y estándares de la industria (como Open Banca y Rápido Salud de interoperabilidad Recursos [FHIR]).
Recomendaciones

Como líder de ingeniería de software responsable de las estrategias y tecnologías de API, debe:

  1. Cree una lista de prioridades de los requisitos de tecnología de gestión de API de su organización al involucrar a las partes interesadas, como el equipo de la plataforma de API, los desarrolladores de API, los gerentes de productos y los equipos de seguridad.
  2. Defina el caso de uso de su organización seleccionando uno de los cinco casos de uso que mejor se adapte a sus requisitos o utilizando la herramienta interactiva de esta capacidad crítica para crear su propio caso de uso con ponderación personalizada para cada capacidad crítica.
  3. Identifique la solución de proveedor más adecuada para el caso de uso mediante la evaluación de productos según sus calificaciones y descripciones, incluidas las características del producto y los servicios auxiliares que el proveedor proporciona para ayudarlo a planificar y ejecutar una estrategia de API
Lo que necesitas saber

Evaluamos 17 ofertas de proveedores de administración de API de ciclo de vida completo en función de 14 capacidades que identificamos como críticas para respaldar las necesidades comerciales en evolución. Ponderamos estas capacidades críticas en términos de su importancia relativa para cinco casos de uso principales:

  1. Arquitectura multiexperiencia: las API se consumen con frecuencia en aplicaciones web, móviles, conversacionales, wearables, gemelos digitales, Internet de las cosas (IoT) y realidad aumentada (AR) , y requieren soporte de gestión de API para el consumo móvil.
  2. Integración mediante API: la integración entre aplicaciones, servicios y empresas ahora generalmente implica el uso de API. Estas API deben administrarse.
  3. Gestión de API interna: las API son bloques de construcción clave para la entrega de aplicaciones empresariales a escala. El descubrimiento, el acceso y el uso de estas API deben gestionarse y regirse.
  4. Productización de API: las API que se comparten externamente y se usan fuera del contexto de una sola aplicación deben tratarse como un producto y deben ser administradas por un gerente de producto de API.
  5. Banca abierta: las API que se utilizan en la banca abierta suelen ser entregadas por bancos y consumidas por socios u organizaciones de tecnología financiera a través de interacciones seguras y estrictamente controladas.

Nuestro equipo de analistas, todos los cuales atienden las consultas de los clientes y realizan una investigación en profundidad sobre las tecnologías API, calificaron cada oferta en las 14 capacidades según la respuesta de cada proveedor a nuestro cuestionario de evaluación. En nuestra evaluación, también incluimos los comentarios de los clientes sobre las capacidades del proveedor a partir de consultas y de Gartner Peer Insights.

Las capacidades críticas para la gestión de API de ciclo de vida completo son:

  • Control de acceso API
  • Consumo de API
  • Diseño e implementación de API
  • Mediación API
  • Monetización de API
  • Protección API
  • Prueba de API
  • Informes de valor empresarial
  • Flexibilidad de implementación
  • Personalización del portal para desarrolladores
  • Orientado a eventos y el streaming
  • Aceleradores de la industria
  • Microservicios y malla de servicios
  • Control de versiones y API

Los líderes en ingeniería de software responsables de las estrategias y tecnologías de API deben utilizar esta investigación para comprender los casos de uso clave y las capacidades de los productos de administración de API de ciclo de vida completo y para comparar las ofertas de los proveedores. Deben evaluar a cada proveedor en función de sus capacidades para satisfacer las necesidades estratégicas de productividad y desarrollo de aplicaciones. También deben evaluar la hoja de ruta del producto de cada proveedor para garantizar la alineación con los objetivos comerciales a largo plazo (consulte el cuadrante mágico complementario para la gestión de API de ciclo de vida completo).

Análisis

Gráficos de casos de uso de capacidades críticas
Figura 1:Puntuaciones de los productos de los proveedores para el caso 
Figura 2: Puntuaciones de productos de los proveedores para la integración mediante el caso de uso de API
Figura 3:Puntuaciones de los productos de los proveedores para el caso de uso de la gestión de API interna
Figura 4:Puntuaciones de los productos de los proveedores para el caso de uso de las API de producción                                                    Figura 5:Puntuaciones de productos de los proveedores para el caso de uso de Open Banking

 *Fuente Gartner (octubre de 2021)

Vendedores

La oferta de administración de API de ciclo de vida completo de Amazon Web Services (AWS) es Amazon API Gateway. Junto con AWS Lambda, Amazon API Gateway es un componente central de la oferta de plataforma de funciones sin servidor como servicio (fPaaS) de AWS. AWS también ofrece un portal para desarrolladores sin servidor personalizable. Solo está disponible en la nube, aunque AWS Direct Connect permite a los clientes utilizar Amazon API Gateway frente a las API locales. Para los clientes de AWS, la capacidad de Amazon API Gateway para integrarse con muchos otros servicios de AWS es atractiva. Los desarrolladores pueden usarlo como una puerta de entrada a aplicaciones creadas en contenedores (como AWS Lambda, Amazon Kinesis y Amazon EventBridge), lo que es especialmente beneficioso cuando se usa AWS para hospedaje. Su precio de pago por uso es rentable para un uso ligero y su alto rendimiento puede soportar un uso intensivo sin degradación. A pesar de sus ventajas y valor para los clientes de AWS, Amazon API Gateway carece de muchas de las características que constituyen la gama completa de capacidades de administración de API, como las de diseño, prueba y gobernanza de API. Amazon API Gateway recibió su puntaje de caso de uso más alto para la arquitectura multi experiencia. Sin embargo, su gama limitada de capacidades también dejó a Amazon API Gateway con puntuaciones bajas en otros casos de uso.

Axway

La oferta de gestión de API de ciclo de vida completo de Axway es Amplify API Management Platform . Se proporciona una puerta de enlace de la API, un catálogo y un mercado unificado, un Portal de API , un bajo código API del constructor , Amplify Integración del constructor , Amplify corrientes de capacidades orientadas a eventos, Axway Agentes Istio, Amplify Analítica y agentes para el descubrimiento, la suscripción y la trazabilidad. Amplify Central es la capa de gestión basada en SaaS para plataformas Axway y no Axway . AxwayLa oferta está disponible como un servicio de nube administrado y se puede implementar en nubes privadas, públicas e híbridas o en las instalaciones.
Axway ‘s Amplify Catálogo proporciona a los usuarios un catálogo flexible, que combina las integraciones y activos de la API. Su herramienta API Builder , junto con Integration Builder, puede permitir a los desarrolladores integrar y orquestar aplicaciones SaaS y fuentes de datos empresariales. El portal de desarrolladores de Axway se basa en el sistema de gestión de contenido Joomla y se puede personalizar mediante kits de desarrollo de software (SDK).
Axway obtuvo una buena puntuación en varias capacidades críticas, particularmente en transmisión y transmisión impulsada por eventos, mediación de API, flexibilidad de implementación y control de versiones y gobernanza de API. Axway fortaleció sus capacidades para el caso de uso de banca abierta actualizando su módulo de gestión de consentimiento, mejorando el soporte para Okta y Ping Identity y agregando las 10 protecciones detalladas de seguridad de API de Open Web Application Security Project ( OWASP ).
Amplify API Management Platform recibió su puntaje de casos de uso más alto para la integración mediante API. También recibió buenos puntajes para la arquitectura multiexperiencia, la gestión de API interna y los casos de uso de banca abierta, y recibió su puntaje más bajo para el caso de uso de API de producción.

Boomi

Boomi ciclo de vida que ofrece la gestión completa API ‘s es parte de su plataforma AtomSphere de , una suite iPaaS empresa. Además de la gestión de API, AtomSphere incluye capacidades para la integración de aplicaciones, datos y B2B / EDI, desarrollo de aplicaciones de bajo código y gestión de datos maestros (MDM). Admite implementaciones de nube híbrida y multinube y tiene un dispositivo de puerta de enlace para escenarios de IoT. No admite implementaciones distribuidas en varias regiones o en varios centros de datos.
Al momento de escribir este artículo, Boomi ha anunciado un acuerdo para que sea adquirida por dos firmas de capital privado, Francisco Partners y TPG Capital . Se espera que la adquisición se complete a fines de 2021, sujeto a las condiciones de cierre habituales.
AtomSphere es ideal para la integración basada en API, incluida la coherencia de datos y la integración de eventos y ecosistemas. AtomSphere obtuvo una puntuación alta en el consumo de API. Aprovecha una amplia variedad de conectores, admite la mediación con el motor Boomi Atom y una puerta de enlace API. También permite el descubrimiento y consumo de API de terceros y API internas registradas en su catálogo. AtomSphere proporciona funciones de gestión del consumo para la definición de políticas, acuerdos de nivel de servicio (SLA) y control de versiones de claves.
La plataforma Atomsphere de Boomi recibió puntuaciones de capacidad bajas para la protección de API, monetización de API, informes de valor comercial, control de versiones y gobernanza de API, y microservicios y malla de servicios.
Recibió su puntaje de caso de uso más alto para la integración mediante API. Recibió puntuaciones bajas en todos los demás casos de uso.

Broadcom

La oferta de administración de API de ciclo de vida completo de Broadcom es la plataforma de administración de API Layer7 . Cuenta con una puerta de enlace API y CA Live API Creator, una herramienta para crear API frente a las fuentes de datos. La plataforma ofrece CA Mobile API Gateway y SDK para escenarios móviles, OAuth Toolkit y CA Rapid App Security . Broadcom oferta ‘s se basa en otros Broadcom productos, incluyendo BlazeMeter para las pruebas API, rendimiento de las aplicaciones AIOps monitoreo (APM) para el seguimiento de activos y de seguimiento de transacciones, y la inteligencia AIOps operativa para el análisis de amenazas y la detección de anomalías.
Broadcom tiene sólidas funciones de seguridad de API, que incluyen capacidades para mitigar el Top 10 de seguridad de API de OWASP y análisis de tráfico mediante IA y respuestas automatizadas. También proporciona capacidades detalladas de autenticación y autorización, lo que proporciona una integración más estrecha con Symantec VIP y con Symantec Identity Security .
La oferta de Broadcom obtuvo una puntuación alta en las pruebas de API, impulsada por BlazeMeter y su enfoque continuo de pruebas de API que incluye pruebas de seguridad y calidad de API. Se recibieron las puntuaciones más bajas para algunas funciones cada vez más importantes, tales como la personalización de su portal de desarrolladores (llamada API Hub), la monetización de la API, microservicios y servicio de malla, y reporte el valor del negocio, lo que puede limitar su eficacia en el i API nterna y p API roductizing casos de uso.
Layer7 API Management recibió su puntaje de caso de uso más alto para la arquitectura multiexperiencia. Recibió puntuaciones razonables en todos los demás casos de uso.

Google (Apigee)

La oferta de administración de API de ciclo de vida completo de Google es Apigee . Está disponible en implementaciones de nube pública, nube privada o centro de datos. Apigee híbrido es una opción de implementación disponibles en Apigee ‘s Enterprise y Enterprise Plus niveles, lo que permite un tiempo de ejecución gestionado por el cliente y Apigee gestionada por el plano de control de Google Cloud Platform ( GCP ). En febrero de 2021, Google lanzó Apigee X, una implementación de SaaS basada en GCP que combina Apigee con otros productos de GCP , incluido reCAPTCHA Enterprise ,Google Cloud Armor (un firewall de aplicaciones web) y Google Cloud CDN .
Google Apigee obtuvo una puntuación alta en una amplia gama de capacidades. Tiene sólidas capacidades de personalización del portal para desarrolladores, con dos opciones de portal para desarrolladores: un portal integrado sencillo basado en la configuración y un portal basado en Drupal para admitir requisitos de personalización más sofisticados. Google Apigee es sólido en el control de acceso a la API, incluida la compatibilidad con los perfiles de API de grado financiero (FAPI) de OpenID Connect que se utilizan en la banca. También es fuerte en la monetización de API, proporcionando a los clientes una amplia variedad de planes de suscripción y precios para API administradas por Google Apigee . Los clientes de servicios financieros y otras industrias a menudo lo utilizan para crear nuevos productos basados en API.
Google Apigee recibió la puntuación más alta de todas las ofertas evaluadas para el caso de uso de API de producción. También recibió buenas puntuaciones en los casos de uso de arquitectura de banca abierta y multiexperiencia. Sus puntuaciones de casos de uso más bajas fueron para la integración mediante API y la gestión de API interna.

IBM

La oferta de gestión de API de ciclo de vida completo de I BM es IBM API Conne ct . Consta de cuatro componentes: API Gateway, API Manager, API Analytics y Developer Porta l. Está disponible como un servicio SaaS y también como una implementación gestionada por el cliente o por IBM en un entorno híbrido. IBM API Connect también está disponible como un componente de IBM Cloud Pak for Integration .
IBM API Connect tiene sólidas capacidades de control de acceso y protección de API, así como complementos para la prueba y el monitoreo de API. Su Kit de herramientas para desarrolladores proporciona capacidades sólidas de diseño, implementación y mediación de API. API Connect tiene un buen soporte para el control de versiones y la gobernanza de API, con características como reversiones de versiones, llevar políticas de una versión a otra, realizar pruebas A / B y administrar suscripciones relacionadas con las versiones de API.
Para las pruebas de API, la solución admite la simulación de backends, la generación de casos de prueba basados en la semántica de API y un conjunto completo de API REST de administrador para permitir la integración con canalizaciones de integración continua / entrega continua (CI / CD). IBM también ha agregado funciones de inteligencia artificial que monitorean la información de seguimiento de API para identificar posibles brechas en la cobertura de prueba de API y luego generar automáticamente los casos de prueba faltantes. El Portal para desarrolladores basado en Drupal es rico en funciones, fácilmente personalizable y también admite la socialización de SOAP , API GraphQL y eventos, además de API REST. A través de API Manager, la solución proporciona capacidades para definir diversos planes de monetización.
Aunque IBM API Connect ofrece un alto nivel de flexibilidad de implementación al permitir implementaciones híbridas, multinube y locales, su plano de control administrado en la nube solo está disponible en IBM Cloud. Además, las implementaciones en entornos basados en contenedores o como parte de IBM Cloud Pak for Integration pueden requerir tiempo y recursos considerables para la implementación u operación.
En el último año, IBM ha agregado soporte para interfaces basadas en eventos al proporcionar conectividad de back-end nativa a los agentes de eventos de Apache Kafka y AMQP . También ha agregado soporte para el descubrimiento y socialización de AsyncAPI e introdujo una capacidad incorporada para que los usuarios aseguren y administren puntos finales GraphQL .
IBM API Connect recibió la puntuación más alta de todas las ofertas evaluadas para los casos de uso de arquitectura de banca abierta y multiexperiencia. Recibió buenas puntuaciones en todos los demás casos de uso.

Kong

Kong ciclo de vida que ofrece la gestión completa API ‘s es Kong Konnect , una plataforma de conectividad de servicio. La plataforma incluye Kong Gateway , una versión empresarial de la puerta de enlace API de núcleo abierto basada en NGINX y OpenResty . También incluye: ServiceHub (un repositorio para que los desarrolladores internos descubran y reutilicen los servicios); el Developer Porta l (para que usuarios externos consuman servicios); Kong Vitals (para monitorear la plataforma ); Kong Immunity (para detección de anomalías basada en AI / ML) y Kong Runtime Manager (para activar y administrar Kong Gateway) . Otro componente de Kong Connect es Insomnia, la herramienta de diseño, prueba y documentación de API, que ofrece un amplio conjunto de funciones para editar OpenAPI , especificaciones REST, gRPC y esquemas GraphQL . También ofrece descubrimiento y exploración de API e integración Git lista para usar.
Kong admite implementaciones de malla de servicio a través de Kong Mesh , que se construye sobre Kuma , un plano de control de código abierto para malla de servicio construido en Envoy . Kong ofrece a los usuarios flexibilidad de implementación a través de su gran cantidad de distribuciones oficiales, incluido el soporte para una amplia gama de sistemas operativos, así como la implementación en contenedores. Su versión de prueba basada en SaaS simplifica la investigación de productos para los clientes. Tiene un sólido diseño e implementación de API y capacidades de prueba de API, pero proporciona aceleradores industriales limitados para respaldar la banca abierta.
La plataforma de Kong recibió su puntaje de casos de uso más alto para la administración interna de API. Recibió puntuaciones razonables en todos los demás casos de uso.

Microsoft

La oferta de administración de API de ciclo de vida completo de Microsoft es Azure API Management . Los clientes pueden usar Azure API Management para administrar las API que se entregan en Microsoft Azure , además de conectarse a las API alojadas en las instalaciones mediante su red virtual de Azure . Microsoft también proporciona una puerta de enlace API autohospedada y una opción de portal para desarrolladores. Un plano de control para puertas de enlace distribuidas que se ejecutan en instancias de Kubernetes con Azure Arc está en versión preliminar.
Azure API Management puede servir como punto de entrada a Azure Kubernetes Service (AKS) , Azure Functions y otros servicios que no son de Azure . Para las capacidades de consumo de API, los clientes pueden usarlo junto con Azure Logic Apps y otras ofertas de Azure Integration Services . El portal de administrador del producto proporciona análisis de registros con un enfoque técnico, como el rendimiento y la resolución de problemas. Sin embargo, Azure API Management tiene soporte limitado para informes de valor comercial, métricas de ecosistema, suscripciones de productos de API y funcionalidad de diseño de API.
Azure API Management recibió su puntaje de caso de uso más alto para la banca abierta. Recibió puntajes promedio para la gestión interna de API, integración mediante API y casos de uso de arquitectura multiexperiencia. Su puntaje de caso de uso más bajo fue para la producción de API.

MuleSoft

La oferta de gestión de API de ciclo de vida completo de MuleSoft es Anypoint Platform . Combina la integración de aplicaciones con la gestión de API en una única plataforma unificada. Anypoint Platform se puede ejecutar en las instalaciones y en entornos de nube pública, privada e híbrida. Incluye Anypoint Exchange , un centro central para compartir API y otros activos de MuleSoft , y puede usarse con Anypoint API Community Manager (basado en Salesforce Experience Cloud ). MuleSoft Los productos están diseñados para ayudar a los usuarios a crear y hacer crecer un ecosistema de consumidores de API, impulsar la adopción de productos API y gestionar las relaciones con los desarrolladores. MuleSoft también ofrece Anypoint Security , una puerta de enlace API adicional centrada en la seguridad, como producto adicional.
La estrategia de API de MuleSoft y el API Community Manager , combinados con sus sólidas capacidades de diseño e implementación de API, proporcionan un poderoso conjunto de herramientas para diseñar y construir API, y para construir y mantener un ecosistema de API. Su introducción de Anypoint DataGraph agregó capacidades básicas de GraphQL . Anypoint Platform tiene sólidas capacidades de consumo de API, incluido un amplio conjunto de conectores SaaS, adaptadores y otras integraciones de API. Para las verticales de la industria, MuleSoft proporciona Catalyst Accelerators , un conjunto de API listas para producción y plantillas de conectividad para casos de uso de aplicaciones y datos. Ofrece estos aceleradores para organizaciones minoristas, financieras, sanitarias, de servicios y comerciales.
Anypoint Platform de MuleSoft recibió la puntuación más alta de todas las ofertas evaluadas para la integración mediante el caso de uso de API. También recibió buenos puntajes en los casos de uso de arquitectura de multiexperiencia, gestión de API interna y banca abierta; y recibió una puntuación justa para el caso de uso de API de producción.

Cartero

Cartero ciclo de vida que ofrece la gestión completa API ‘s es cartero Plataforma API . Es una oferta de SaaS que proporciona capacidades para el diseño de API, simulacros, pruebas, documentación, descubrimiento y automatización. Postman no proporciona una puerta de enlace API, por lo que carece de capacidades de tiempo de ejecución. Sin embargo, proporciona integraciones de puerta de enlace, como Amazon API Gateway .

Postman Collections , un entorno para que los diseñadores de API agreguen solicitudes de API en agrupaciones lógicas, y los espacios de trabajo brindan sólidas capacidades para el diseño y la implementación de API, las pruebas de API y la personalización del portal de desarrolladores. La API de red cartero ayuda a los usuarios crear portales para desarrolladores API públicas y privadas. Los portales públicos son visibles para cualquier persona del ecosistema Postman . Los espacios de trabajo de Postman permiten una experiencia de colaboración para que varios desarrolladores trabajen en una API.
Cartero A ‘s de gestión de PI platfor m recibió la puntuación más alta de todas las ofertas evaluadas para la gestión interna de la API utilización caso . Recibió puntajes razonables por la arquitectura multiexperiencia, la integración mediante API y los casos de uso de banca abierta; y recibió una puntuación baja para el caso de uso de las API de producción.

RED HAT

La oferta de gestión de API de ciclo de vida completo de Red Hat es Red Hat 3scale API Management . La solución es parte de las soluciones de integración de Red Hat y es distinta de la de su empresa matriz, la oferta API Connect de IBM . Sin embargo, 3scale API Management tiene varias características que compiten con las de IBM API Connect . Red Hat 3scale API Management generalmente se implementa en una arquitectura híbrida, con puertas de enlace de API locales y administración en la nube. También se puede implementar en Red Hat ‘s Plataforma de contenedores OpenShift .
3scale API Management ofrece conectividad a diferentes pasarelas de pago, pero los clientes han informado problemas de larga data que obstaculizan la monetización de la API. Obtuvo un buen puntaje por su flexibilidad de implementación, pero no tan bien para los aceleradores de la industria, las pruebas de API y los informes de valor comercial.
Red Hat 3scale API Management recibió su puntaje de caso de uso más alto para la integración mediante API . Recibió puntajes promedio en todos los casos de uso, con los más bajos para la administración de API interna y la arquitectura multiexperiencia.
Red Hat no respondió a las solicitudes de información suplementaria . Por lo tanto, el análisis de Gartner se basa en otras fuentes públicas creíbles y aceptadas.

SAVIA

SAP ofrece SAP API Management como una capacidad de SAP Integration Suite, que forma parte de SAP Business Technology Platform (BTP). SAP se asocia con Google para aprovechar la puerta de enlace Apigee Edge API de este último como el componente de tiempo de ejecución dentro de sus ofertas de administración de API en la nube. SAP ha creado su propio producto de gestión de API de ciclo de vida completo en torno a la puerta de enlace de API de Apigee Edge , que incluye análisis y un portal para desarrolladores.
SAP ofrece múltiples opciones para publicar API, como a través de API Business Hub Enterprise , a través de un CMS, a través de un portal para desarrolladores basado en plantillas y mediante el uso de SAP Cloud Portal Service. SAP proporciona múltiples opciones de autenticación , incluidas OAuth 2.0 , SAML 2.0, claves API y tokens web JSON ( JWT ), y autenticación basada en certificados. SAP BTP complementa la solución de gestión de API de SAP al permitir a los usuarios diseñar y crear API GraphQL desde cero, descubrir API REST / OData existentes a partir de backends y bases de datos, y convertir las API como puntos finales GraphQL que están listos para ser consumidos. losLa solución , junto con el tiempo de ejecución Kyma de SAP , admite mecanismos de eventos basados en HTTP como webhooks, WebSockets , AsyncAPI y eventos enviados por el servidor (SSE) para sistemas habilitados para eventos push de forma nativa.
Las sólidas capacidades de SAP Integration Suite para el control de acceso a API y la protección de API impulsaron su clasificación en todos los casos de uso. La solución también proporciona sólidas capacidades de integración, particularmente con aplicaciones SAP , y sólidas funciones de acelerador de la industria .
SAP Integration Suite recibió su puntaje de casos de uso más alto para la banca abierta. También recibió una buena puntuación por la integración con el caso de uso de API y puntuaciones razonables en todos los demás casos de uso.

SmartBear

La oferta de administración de API de ciclo de vida completo de SmartBear comprende tres marcas: SmartBear SwaggerHub , SmartBear ReadyAPI (para pruebas funcionales, pruebas de seguridad, rendimiento y virtualización) y SmartBear AlertSite (para monitoreo de API) . Su conjunto de productos incluye herramientas de código abierto conocidas, como Swagger Editor (para diseño de API), SoapUI (para pruebas de API), Service Virtualization (para virtualizar API como parte de las pruebas), así como complementos para entornos de desarrollo integrados populares. , Visual Studio Code e IntelliJ IDEA.
SmartBear se centra en el ciclo de vida del desarrollo de API y no ofrece una puerta de enlace API, sino que proporciona una amplia gama de integraciones con puertas de enlace API, incluidas Amazon API Gateway y Google Apigee .
SmartBear tiene sólidas capacidades para el diseño y la implementación de API, incluida la conformidad con la guía de estilo de API, reglas listas para usar y la capacidad de agregar reglas personalizadas. También cuenta con una sólida virtualización de servicios y pruebas de API en el contexto de las capacidades de prueba. SmartBear SwaggerHub proporciona una función llamada Auto-Mocking, que crea y mantiene una simulación de una API basada en las respuestas y ejemplos definidos en su definición de OpenAPI 3.0 o 2.0.
Sin embargo, dado que SmartBear no tiene capacidades de tiempo de ejecución, como el control de acceso a la API y la mediación de la API, esto limita su efectividad para algunos casos de uso, como la banca abierta.
La plataforma de SmartBear recibió su puntaje de caso de uso más alto para la administración interna de API. Recibió puntajes razonables para la arquitectura multiexperiencia, la integración mediante API y los casos de uso de API productivas; y recibió una puntuación deficiente para el caso de uso de banca abierta .

Software AG

La oferta de gestión de API de ciclo de vida completo de Software AG es la plataforma de gestión de API webMethods . Está disponible para implementación local o como una oferta en la nube, llamada API webMethods.io . Consta de API Gateway, API Portal , Microgateway , CentraSite (registro y repositorio) y webMethods CloudStreams (gestión de conexiones y consumo). API Gateway y API Portal están disponibles como SaaS. La plataforma admite implementaciones locales, en la nube o híbridas.
Junto con su plataforma iPaaS, Software AG tiene sólidas capacidades de integración (como conectores para aplicaciones empresariales) y de mediación API. A través de una plataforma llamada Engage , Software AG permite a los usuarios ejecutar programas beta y hackatones. CentraSite, una herramienta de gobernanza disponible como complemento, proporciona validación de diseño de API, gobernanza de canalizaciones de CI / CD y análisis de dependencia de API para ayudar a la gestión del ciclo de vida de la API . Software AG también presentó AppMesh para permitir la introspección de microservicios basados en Istio y Kubernetes para API.
Aunque la plataforma de gestión de API de webMethods es compatible con OWASP Top 10 para las protecciones de seguridad de API, carece de capacidades avanzadas para la seguridad de API, como el descubrimiento automatizado de API, la detección de anomalías o el descubrimiento predictivo de amenazas. Para el control de acceso API, Software AG admite la integración con servidores de autorización de terceros como Okta y Ping Identity . También admite estándares como OAuth 2.0 , OpenID Connect , Kerberos , estándares relacionados con servicios web y SAML. La estrecha integración de Software AG con su plataforma de integración mejora su usabilidad, pero restringe su flexibilidad de implementación.
La plataforma de gestión de API webMethods de Software AG recibió su puntaje de caso de uso más alto para la producción de API. Recibió puntuaciones razonables en todos los demás casos de uso.

Software TIBCO

La oferta de gestión de API de ciclo de vida completo de TIBCO Software es TIBCO Cloud Mashery. Incluye capacidades para modelado de API, simulacros de API, portal de desarrolladores, centro de control, análisis, un microgateway y aplicaciones de proxy de API (Node.js y Flogo ) .TIBCO Cloud Mashery admite implementaciones híbridas, en la nube y locales. La solución a menudo se implementa con TIBCO Cloud Integration, que proporciona un mercado unificado, monitoreo integrado, un repositorio centralizado (TIBCO Cloud Mesh) y automatización de procesos para desarrolladores ciudadanos.
TIBCO Cloud Mashery tiene capacidades sólidas para la flexibilidad de implementación y para transmisión y transmisión impulsada por eventos . Proporciona una amplia gama de opciones de implementación para entornos de orquestación de contenedores de destino de múltiples proveedores de nube, incluidos AWS , Microsoft Azure y GCP . Como uno de los principales proveedores de tecnología impulsada por eventos, TIBCO ha ampliado Cloud Mashery para admitir aplicaciones de arquitectura nativas impulsadas por eventos. También es compatible con Apache Kafka , Apache Pulsar, GraphQL , gRPC y MQTT a través de la gestión de API federada y su microgateway API, lo que lo hace particularmente efectivo para escenarios impulsados por eventos.
TIBCO Cloud Mashery tiene capacidades relativamente limitadas para la monetización de API, informes de valor comercial de API, pruebas de API, consumo de API, acelerador de la industria y gobernanza de API.
TIBCO Cloud Mashery recibió puntajes razonables en todos los casos de uso, siendo los puntajes más altos para la arquitectura de múltiples experiencias y la integración mediante API.

Tyk

La oferta de gestión de API de ciclo de vida completo de Tyk es Tyk Enterprise . Tiene una puerta de enlace API, análisis de API, un portal para desarrolladores y un panel de gestión de API. Tyk también ofrece Tyk Identity Broker (TIB) , Tyk MServ (servidor de activos seguro) y controlador Kubernetes, todos ellos basados ​​en componentes de código abierto. Tyk se puede implementar en la nube, autogestionado o en una configuración híbrida. El proveedor también ha lanzado una versión SaaS de la plataforma, Tyk Cloud .
Tyk tiene sólidas capacidades para gobernar el desarrollo y las operaciones de API dentro de las organizaciones. Su integración fluida con canalizaciones CI / CD, su soporte para g RPC , GraphQL y WebSockets , y su flexibilidad para implementaciones distribuidas hacen de Tyk una solución sólida para administrar API internas. Con su Universal Data Graph , Tyk permite a las organizaciones generar API GraphQL a partir de servicios existentes para facilitar el intercambio de datos entre diferentes aplicaciones. Tyk admite autenticación y autorización a través de OAuth 2.0 o OpenID Connect, además de gestionar la autenticación mediante claves API.
Las capacidades de Tyk para diseñar y probar API son relativamente básicas. Permite a los usuarios importar definiciones de API o aplicar políticas, pero no tiene soporte para definir políticas de diseño en toda la organización o generar automáticamente casos de prueba de API. Tiene complementos para Apache Kafka y AMQP , pero actualmente no es compatible con AsyncAPI o OpenAPI Specification (OAS) 3.0. Sus capacidades de monetización de API se limitan a definir planes básicos y realizar llamadas de API a proveedores de pago como Stripe.
Tyk continúa invirtiendo en la mejora de sus capacidades de gráficos de datos universales para admitir integraciones de datos basadas en GraphQL en todo el ciclo de vida desde las fases de diseño, desarrollo, operaciones y retiro.
Tyk recibió puntajes razonables en todos los casos de uso, siendo su puntaje más alto para el caso de uso de integración con API.

WSO2

WSO2 ciclo de vida que ofrece la gestión completa API ‘s es WSO2 Manager API . Es una solución de gestión de API de código abierto. En 2021, WSO2 lanzó Choreo , una solución de gestión de API basada en la nube que no es de código abierto. La funcionalidad API Manager Analytics de WSO2 se ofrece como un servicio construido en Microsoft Azure .
WSO2 combina la gestión de API con sólidas capacidades de integración. Su WSO2 API Manager y Choreo permiten que las integraciones se expongan como API administradas en arquitecturas de nube, locales, nativas de contenedores e híbridas. WSO2 API Manager proporciona un sólido control de acceso a la API al aprovechar su producto WSO2 Identity Server y al admitir Okta , PingFederate , Okta (Auth0 ), Red hat ( Keycloak) y ForgeRock . También tiene sólidas capacidades de mediación de API, lo que permite el backend para patrones de frontend para escenarios móviles y multiexperiencia. Además de sus aceleradores de banca abierta,WSO2 ahora proporciona aceleradores de la industria de la salud, incluidas soluciones para el cumplimiento de la regla final de acceso del paciente CMS 9115-F de EE. UU. (Para pagadores de atención médica de EE. UU.) Y para el cumplimiento de la regla de bloqueo de información de ONC (para proveedores de atención médica de EE . UU . ) .
WSO2 API Manager recibió su puntaje de caso de uso más alto para la banca abierta. También recibió buenas puntuaciones en arquitectura e integración multiexperiencia mediante API. Recibió sus puntuaciones de casos de uso más bajas para la gestión de API internas y la producción de API.

Contexto

El mercado de proveedores de gestión de API de ciclo de vida completo es diverso y en continua evolución. El panorama actual de proveedores incluye una combinación de arquitectura orientada a servicios (SOA), es decir, proveedores de tecnología de gobernanza y puerta de enlace, proveedores de soluciones de integración, plataformas de código abierto, conglomerados de software empresarial y plataformas en la nube. Combinado con un número creciente de proveedores de puerta de enlace API de nueva generación y de bajo impacto , proveedores que se basan en tiempos de ejecución, adquisiciones y asociaciones existentes que ofrecen enfoques de soluciones de múltiples proveedores , los líderes en ingeniería de software se enfrentan a una enorme variedad de opciones. A muchos les resulta difícil seleccionar las mejores soluciones para las necesidades de su organización.

Los desarrolladores están adoptando enfoques centrados en API para el desarrollo de aplicaciones y servicios para satisfacer las demandas de agilidad empresarial y aprovechar arquitecturas más granulares y componibles. La adopción de API continúa expandiéndose a medida que las organizaciones adoptan funciones de microservicios y multinube, administración de API interna, junto con la necesidad de modernizar, capitalizar y monetizar activos y datos heredados. Las preocupaciones sobre la privacidad y la seguridad de los datos , impulsadas por muchas violaciones de seguridad de API de alto perfil en los últimos 12 meses , las regulaciones y las arquitecturas resilientes impulsadas por eventos también siguen siendo fuertes. En respuesta a estos diversos requisitos, los proveedores ofrecen una amplia gama de funciones en este mercado.

En particular, los proveedores de plataformas en la nube también están agregando capacidades de administración de API, al igual que los proveedores de integración y los proveedores en otros mercados (ya sea directamente o mediante adquisiciones). Como resultado, los clientes corren el riesgo de acumular múltiples ofertas de administración de API, lo que puede crear superposiciones y brechas en la cobertura.

Según las consultas de los clientes de Gartner, muchas organizaciones ahora usan herramientas de administración de API proporcionadas por sus proveedores de nube, junto con herramientas de administración de API locales proporcionadas por un proveedor diferente. Algunos proveedores se centran en aspectos específicos de la gestión del ciclo de vida de la API (como el diseño de API o las pruebas de API) y coexisten con otros que ofrecen capacidades complementarias, como una puerta de enlace API.

Las empresas buscan socios proveedores eficaces y preparados para el futuro, pero económicamente viables, que les ayuden a tener éxito en el desarrollo, la implementación y el gobierno de su estrategia de API. Los líderes en ingeniería de software deben utilizar el proceso de evaluación metódico basado en capacidades y basado en casos de uso descrito en esta investigación para seleccionar la oferta de gestión de API de ciclo de vida completo adecuada para sus necesidades.

Definición de clase de producto / servicio

El mercado de gestión de API de ciclo de vida completo consta de ofertas de software que admiten cuatro etapas del ciclo de vida de una API: planificación y diseño; implementación y prueba; implementar y ejecutar; y control de versiones y retiro.

Las ofertas de gestión de API de ciclo de vida completo cubren al menos dos de estas cinco áreas funcionales:

  1. Portales de desarrolladores. Un catálogo de autoservicio de API para segmentar, comercializar y gobernar ecosistemas de desarrolladores que producen y consumen API.
  2. Puertas de enlace API. Gestión del tiempo de ejecución, seguridad y recopilación de datos de uso.
  3. Gestión y análisis de políticas. Configuración de seguridad, mediación de API y monitorización de API.
  4. Diseño y desarrollo de API. Una experiencia de desarrollador significativa y herramientas para diseñar y crear API.
  5. Pruebas de API. Pruebas simuladas básicas y pruebas funcionales, de rendimiento y de seguridad avanzadas de API.

Aunque las ofertas en este mercado pueden proporcionar capacidades avanzadas o especializadas en una o más de las áreas anteriores, consideramos que estas funcionalidades representan la gestión de API del ciclo de vida completo.

Definición de capacidades críticas
Control de acceso API

La capacidad de utilizar estándares, como OAuth 2.0 y OpenID Connect, para controlar el acceso a las API mediante autenticación y autorización.

El control de acceso a la API también implica la integración con la infraestructura de identidad, como la administración de acceso web y los proveedores de identidad. Las políticas de control de acceso a la API no deben ser demasiado complejas para que los administradores las configuren y administren. Los proveedores de API pueden utilizar los productos de gestión de API de ciclo de vida completo para diseñar y ejecutar una estrategia de seguridad de API holística que incluya control de acceso de API (consulte Mejorar la seguridad de la integración de aplicaciones centrándose en la identidad, los datos y las API ).

Protección API

La capacidad de admitir las 10 mejores protecciones de seguridad de API de OWASP, detección de uso sospechoso de API y defensa contra ataques a API en general.

La protección de la API incluye el análisis de las llamadas a la API en busca de evidencia de ataques. Los proveedores de gestión de API de ciclo de vida completo proporcionan puertas de enlace de API para proteger las API de ataques. Los firewalls de aplicaciones web y los controladores de entrega de aplicaciones también se pueden usar como parte de un modelo de seguridad en capas (consulte Seguridad de API: lo que debe hacer para proteger sus API ).

Flexibilidad de implementación

La capacidad de mostrar API en la nube, en las instalaciones o en ambos. Esto incluye soporte para patrones de implementación híbridos, como puertas de enlace de API locales con administración e informes basados en la nube.

Muchas organizaciones exponen los puntos finales de API en la nube para acceder a servicios alojados en las instalaciones o servicios que requieren la capacidad de proporcionar puertas de enlace locales con informes y administración alojados en la nube. Las implementaciones en contenedores y la elasticidad de la nube son especialmente importantes para las API en verticales de la industria que experimentan picos de demanda estacionales o esporádicos, y para las organizaciones que buscan soporte multinube. Las organizaciones buscan cada vez más la flexibilidad para implementar API en una amplia variedad de tiempos de ejecución (ocasionalmente de diferentes proveedores). El uso de microservicios, la malla de servicios y los patrones de servicio de este a oeste introducen requisitos adicionales (consulte Asegúrese de que su solución de administración de API admita tendencias de API modernas, como microservicios y multinube ).

Diseño e implementación de API

La capacidad de crear nuevas API o nuevas versiones de API utilizando herramientas de generación o un estudio de diseño. Esto incluye soporte para diseñar API desde cero y para generar API desde infraestructura (como bases de datos), así como soporte para OData (Open Data Protocol) y GraphQL.

Esta capacidad cubre el diseño de especificaciones API requeridas y efectivas para satisfacer las necesidades comerciales, y la creación de esas especificaciones de manera iterativa y colaborativa. Las organizaciones pueden utilizar rutinariamente herramientas de diseño de API compatibles con OAS o RAML u otras herramientas basadas en asistentes para crear API REST a partir de activos existentes, como bases de datos o servicios web SOAP. Las características deseables incluyen la capacidad de utilizar, administrar y aplicar pautas de diseño, guías de estilo, convenciones de nomenclatura y modelos de dominio. Las API GraphQL, gRPC y OData también son deseables (consulte Cómo diseñar grandes API ).

Personalización del portal de desarrollo

La capacidad de personalizar un portal de desarrolladores de API para la apariencia, la base de los desarrolladores y los flujos de trabajo, y para agregar widgets como foros. Los portales para desarrolladores también pueden servir como base para la creación de mercados de API, lo que requiere una mayor personalización y extensibilidad.

Las organizaciones normalmente desean personalizar los portales de desarrolladores de API para sus necesidades específicas. La personalización del portal se centra inicialmente en la apariencia y luego se extiende a la adaptación del flujo de trabajo (por ejemplo, la adaptación del proceso de registro y aprobación del desarrollador). Se pueden agregar características para apoyar e involucrar a los desarrolladores para desarrollar una comunidad y fomentar la innovación. Los portales de desarrolladores de API normalmente se construyen sobre un sistema de gestión de contenido como Drupal o Joomla !. Estos proporcionan un conjunto de widgets, como wikis y foros, que se pueden agregar al portal. En un modelo híbrido, los portales para desarrolladores de API pueden proporcionarse en la nube, mientras que el mismo proveedor puede proporcionar puertas de enlace de API en las instalaciones (consulte Crear portales de API que impulsen la adopción de API entre comunidades de desarrolladores internos y externos ).

Monetización de API

La capacidad de monetizar las API, no solo una selección de opciones de facturación, sino también la capacidad de administrar una variedad de planes de uso y modelos de precios para diferentes consumidores de la misma API.

La monetización de API es importante en escenarios en los que las API brindan acceso a datos valiosos (API de datos como servicio) o para acceder a algoritmos. La monetización se basa en características como el seguimiento detallado y el control de acceso, y agrega la capacidad de crear planes de uso. Para respaldar estos casos de uso, los proveedores de administración de API de ciclo de vida completo deben proporcionar una amplia variedad de modelos de precios de API, como suscripción y pago por uso, y permitir a los usuarios cambiar el modelo de precios de una API y realizar la facturación (consulte Elija el Modelo de precios y monetización de API adecuadas ).

Informes de valor comercial

La capacidad de medir y reportar el valor comercial de las API. Esto incluye soporte para definir métricas, recopilar datos e informar sobre métricas comerciales, métricas de calidad de API y métricas técnicas y operativas.

Estas características permiten a los gerentes de productos de API y otras partes interesadas definir, desarrollar y medir indicadores clave de rendimiento (KPI) significativos para las API que demuestran resultados comerciales reales (consulte Cómo utilizar los KPI para medir el valor comercial de las API ). Esto incluye la capacidad de clasificar y priorizar las API en función de su contribución de valor comercial, definir métricas, recopilar datos y crear informes procesables contra los KPI definidos. La generación de informes de valor comercial consiste en ir más allá de las métricas técnicas para el uso de API, como las tasas de tráfico y los tiempos de respuesta, para demostrar el valor comercial real creado para el proveedor de API frente a los objetivos comerciales establecidos.

Pruebas de API

La capacidad de admitir una amplia gama de escenarios de prueba de API, incluidos (entre otros) escenarios de prueba A / B automatizados, funcionales y canalizaciones de CI / CD.

Esto significa probar la confiabilidad, la disponibilidad, el rendimiento y los requisitos funcionales y no funcionales. También implica soporte para la automatización de CI / CD y pruebas de calidad continuas de las API, así como pruebas de seguridad y soporte para herramientas de prueba de API más amplias. La capacidad de prueba de API también evalúa el soporte del proveedor para versiones, puesta en escena e implementaciones con control de calidad a través de su propia oferta o mediante asociaciones (consulte Cómo entregar API sostenibles ).

Consumo de API

La capacidad de consumir API públicas y API privadas. Las capacidades de consumo de API, a veces llamadas capacidades de puerta de enlace inversa o saliente, se utilizan para administrar cómo se consumen estas API, incluidos los SLA, la supervisión y la administración de claves de API.
La gestión de API también puede ayudar a los usuarios a gestionar el consumo de API de terceros. Algunos proveedores ofrecen adaptadores para API clave de terceros para ayudar a la integración, en particular para las API SaaS ampliamente utilizadas como Salesforce y Workday.

Aceleradores de la industria

La capacidad de admitir asignaciones, configuraciones o definiciones de API predefinidas para industrias o escenarios comerciales particulares.

Esto incluye soporte para directivas de pago o banca abierta, estándares de interoperabilidad de atención médica como los recursos de interoperabilidad de atención médica rápida (FHIR) y estándares específicos como las reglas de interoperabilidad de la Oficina del Coordinador Nacional (ONC) para la atención médica en los EE. UU.

Los proveedores de administración de API de ciclo de vida completo pueden ofrecer API predefinidas basadas en estándares de la industria o mandatos gubernamentales que apuntan a verticales específicas. Estas soluciones prediseñadas brindan a los clientes un valioso punto de partida desde el cual definir sus propias API (consulte Más allá del cumplimiento: uso de los estándares de API bancarias para una ventaja competitiva ).

Microservicios y Service Mesh

La capacidad de administrar microservicios y API y de integrarse con la malla de servicios.
Cada vez más, los servicios detrás de las API se implementan utilizando una arquitectura de microservicios. Desde el punto de vista arquitectónico, las API están ubicadas frente a los microservicios, y una única API puede mapearse a varios microservicios. Los proveedores de administración de API de ciclo de vida completo que admiten microservicios pueden ayudar a administrar asignaciones y dependencias entre API y microservicios.
Los microservicios admitidos por los proveedores de gestión de API de ciclo de vida completo también pueden implicar la integración con una malla de servicios (a través de un controlador de entrada) o la integración con el plano de control de la malla de servicios.

Streaming y basado en eventos

La capacidad de admitir API impulsadas por eventos y API de transmisión a través de protocolos y especificaciones como Webhooks, WebSocket, AsyncAPI y eventos enviados por el servidor (SSE).
Este soporte incluye la capacidad de aplicar políticas a API de transmisión e impulsadas por eventos (consulte El impacto de la TI impulsada por eventos en la gestión de API ). Muchos productos de gestión de API se centran en API de solicitud-respuesta síncronas. Admitir API de transmisión y controladas por eventos significa no solo permitir que su uso se administre en tiempo de ejecución a través de puertas de enlace de API, sino también permitir que estos tipos de API se registren y consuman a través de un portal de desarrolladores de API.

Mediación API

La capacidad de proporcionar una capa de mediación entre un consumidor de API y la implementación de un servicio de API. Una capa de mediación puede proteger y administrar las API mediante la aplicación de políticas de seguridad y tráfico.
La mediación de API a menudo implica la traducción de protocolos, por ejemplo, de SOAP a REST, o una modificación de la carga útil del mensaje para mantener la coherencia. Esto admite la creación de múltiples experiencias para los consumidores de API y el uso de capacidades comerciales empaquetadas que permiten una empresa componible (consulte API mediadas: una arquitectura de aplicación esencial para negocios digitales ).
Control de versiones y API
La capacidad de crear una versión de una API para proteger a los usuarios contra cambios importantes y, al mismo tiempo, respaldar la gobernanza del ciclo de vida del producto de una API.
Los proveedores de API pueden utilizar los productos de gestión de API de ciclo de vida completo para admitir una notificación de lanzamiento, control de versiones y estrategia de desactivación de API (consulte el Modelo de madurez de la estrategia de API de Gartner ).

Casos de uso

Arquitectura multiexperiencia

Adapte las API para el consumo mediante aplicaciones web, móviles, conversacionales, wearables, gemelos digitales, IoT y realidad aumentada para permitir una estrategia multiexperiencia.
Para admitir la arquitectura de múltiples experiencias, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  • Control de acceso a API, incluida la compatibilidad con estándares (como OAuth 2.0) y marcos para el acceso de usuarios a API a través de aplicaciones de múltiples experiencias.
  • Control de versiones y API para admitir nuevos lanzamientos, actualizaciones y retiro de productos API.
  • Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.
  • Soporte para diseño e implementación de API.
  • Compatibilidad con pruebas de API para enfoques de DevOps, incluidos CI / CD, pruebas funcionales automatizadas y pruebas de seguridad automatizadas.
  • Soporte para protocolos de transmisión y controlados por eventos.
  • Mediación de API, como la conversión de SOAP a REST para adaptar los servicios web más antiguos a los servicios de descanso compatibles con dispositivos móviles.

Integración mediante API

Integre datos, aplicaciones, servicios y negocios mediante la gestión de API internas, conectores SaaS, API de datos como servicio y API B2B privadas. Dentro de la organización, las API internas se utilizan para acceder a los datos y la funcionalidad de la aplicación. Esto incluye el acceso a sistemas heredados a través de interfaces API directas o métodos indirectos como colas de mensajes. Fuera de la organización, se requieren conectores a SaaS y otros servicios en la nube. Las API de datos como servicio proporcionan un nuevo canal para que las organizaciones moneticen datos valiosos, como datos financieros, datos de viajes y logística o información meteorológica. En algunos casos, los proveedores de API pueden monetizar sus API directamente, de modo que las API se conviertan en un nuevo canal comercial.
También se deben gestionar las API B2B privadas entre socios comerciales . Estas API incluyen los eslabones de la cadena de suministro en la fabricación, la gestión de pedidos o el inventario en el comercio minorista y los procesos multiempresariales en la salud o las ciencias de la vida. Las API B2B se pueden utilizar junto con enfoques tradicionales como la transferencia de archivos administrada (MFT) y el intercambio electrónico de datos (EDI).
Las API B2B tienen poca visibilidad, ya que normalmente se utilizan dentro de una red cerrada de socios (por ejemplo, las aseguradoras que se comunican con los bancos para proporcionar cotizaciones de seguros como parte de un préstamo) o dentro de una cadena de suministro (por ejemplo, proveedores de comercio electrónico que verifican el suministro. disponibilidad de inventario). Gran parte del valor de la economía de las API se establece actualmente a través de las API B2B.

Para admitir la integración mediante API, los proveedores de gestión de API de ciclo de vida completo deben proporcionar:

  • Capacidad de “puerta de enlace inversa” para consumir API fuera de la organización.
  • Adaptadores de API prediseñados para servicios SaaS comunes como Salesforce y Workday , así como otros servicios en la nube como Amazon S3.
  • Soporte multiprotocolo más allá de HTTP, incluyendo cola de mensajes, soporte de archivos y bases de datos, y Protocolo de transferencia de archivos SSH (SFTP).
  • Soporte de mapeo y transformación.
  • Un modelo híbrido que permite utilizar la solución detrás del firewall y en la nube.
  • Planes de control de acceso, seguridad, monetización y consumo.
  • Un portal para desarrolladores de API eficaz para que los usuarios puedan consumir estas API de forma autoservicio.

Gestión de API interna

Administre y controle el descubrimiento, el acceso y el uso de las API internas para entregar aplicaciones empresariales a escala.

Dentro de una organización, las API proporcionan un límite de servicio lógico entre las funciones comerciales. Al administrar los puntos de conexión entre las capacidades, las organizaciones pueden definir mejor las responsabilidades y mejorar la agilidad.

Para respaldar la administración de API interna, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  1. Un portal para desarrolladores de API personalizable que se adapta a las necesidades de la organización y puede ser parte de un centro de desarrolladores más amplio.
  2. Soporte para diseño e implementación de API.
  3. Soporte para gobernar y versionar API internas.
  4. Control de acceso a la API, incluida la compatibilidad con estándares como OAuth 2.0 para el acceso de los usuarios a las API. Debe ser posible integrar el acceso a las API internas con los sistemas de identidad corporativa.
  5. Soporte para enfoques de DevOps, incluidos CI / CD, pruebas funcionales automatizadas y pruebas de seguridad automatizadas.

Productización de API

Crear, compartir y monetizar nuevos productos API para que los utilicen terceros o clientes; y medir e informar el valor comercial de las API.

Las API externas que se utilizan fuera del contexto de una única aplicación deben gestionarse como un producto. Las API deben ser fáciles de incorporar y consumir por parte de los desarrolladores, al tiempo que proporcionan métricas e informes para que las utilicen los gerentes de productos de API. Estas API pueden ser utilizadas por terceros o clientes para crear y ampliar sus aplicaciones.
Para respaldar la producción de API, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  • Funciones para dar soporte al administrador de productos API.
  • Planes de monetización y consumo de API.
  • Informes de valor empresarial.
  • Un portal para desarrolladores para facilitar la incorporación y el soporte continuo de clientes nuevos y existentes.
  • Control de versiones y API para admitir nuevos lanzamientos, actualizaciones y retiro de productos API.
  • Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.

Banca Abierta

Entregue API para el consumo de socios bancarios u organizaciones de tecnología financiera a través de interacciones seguras y estrictamente controladas.

Las API de banca abierta se utilizan para crear aplicaciones para usuarios finales con fines como la agregación de cuentas o la gestión financiera personal. El acceso a estas API debe administrarse, incluido el uso de estándares API abiertos cuando estos están definidos o son obligatorios.

Los bancos están comenzando a abrir las API a terceros en respuesta a la legislación de la Directiva de servicios de pago 2 (PSD2) en la Unión Europea y otras iniciativas nacionales de banca abierta. Los bancos generalmente comienzan abriendo API con información de sucursales y ubicaciones de cajeros automáticos, y ahora se están expandiendo para ofrecer API para abrir cuentas, acceder a información de cuentas y realizar pagos.

Para respaldar la banca abierta, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  1. Control de acceso, que es vital debido a la sensibilidad de los datos de los clientes bancarios. OAuth 2.0 se usa generalmente para administrar el acceso a la información de la cuenta.
  2. Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.
  3. Asesoramiento para programas de API, incluido el soporte para hackatones, que los bancos suelen utilizar para impulsar el uso de API e involucrar a las organizaciones de tecnología financiera.
  4. Un portal de desarrolladores de API personalizable para facilitar la incorporación de socios de tecnología financiera
  5. Aceleradores de la industria, en particular definiciones API predefinidas que ayudan a los bancos a satisfacer los requisitos de PSD2 u otros marcos legales o regulatorios.

Proveedores agregados y eliminados

  1. Adicional
    Cartero
    SmartBear
  2. Abandonó
    F5 (NGINX )
    Perforce (Akana)
    Sensedia
    Torry Harris

Criterios de inclusión
Todos los proveedores evaluados en estas Capacidades críticas tenían que satisfacer los siguientes criterios:

  • Comercialice , venda y respalde activamente al menos dos de las siguientes cinco áreas funcionales para respaldar la gestión del ciclo de vida completo de las API:
  • Portales para desarrolladores
  • Puertas de enlace API
  • Gestión y análisis de políticas
  • Diseño y desarrollo de API
  • Prueba de API
  • Haber hecho que la oferta calificada esté disponible para el público general a partir de junio de 2020.
  • Tener una oferta integral de uso general que no sea específica de una industria o limitada a un mercado adyacente (como iPaaS o seguridad de aplicaciones). Esta oferta tenía que estar disponible directamente del proveedor o mediante acuerdos anunciados públicamente con socios.
  • Haber generado ingresos de al menos $ 30 millones (o el equivalente en otra moneda) a partir de la gestión de API del ciclo de vida completo en 2020.
  • Los proveedores que ofrecen una oferta de productos de código abierto o de núcleo abierto tenían que haber generado ingresos de al menos $ 8 millones (o el equivalente en otra moneda) por año a partir de la gestión de API del ciclo de vida completo. Estas cifras incluyen ingresos por software, servicios gestionados en la nube, soporte y servicios profesionales relacionados con la oferta de gestión de API de ciclo de vida completo.
  • Haber tenido al menos 150 clientes de pago para la gestión de API del ciclo de vida completo en 2020.
  • Tener una presencia geográfica razonablemente amplia para ventas, soporte y disponibilidad de servicios, con no más del 90% de sus ingresos de administración de ciclo de vida completo para 2020 provenientes de una región específica.

Metodología de capacidades críticas

Esta metodología requiere que los analistas identifiquen las capacidades críticas para una clase de productos o servicios. Luego, cada capacidad se pondera en términos de su importancia relativa para casos de uso de productos o servicios específicos. A continuación, los productos / servicios se clasifican en términos de qué tan bien logran cada una de las capacidades críticas. Luego, se calcula una puntuación que resume qué tan bien cumplen con las capacidades críticas para cada caso de uso para cada producto / servicio.

Las “capacidades críticas” son atributos que diferencian los productos / servicios de una clase en términos de calidad y rendimiento. Gartner recomienda que los usuarios consideren el conjunto de capacidades críticas como algunos de los criterios más importantes para las decisiones de adquisición.

Al definir la categoría de producto / servicio para la evaluación, el analista primero identifica los usos principales de los productos / servicios en este mercado. ¿Qué necesidades buscan satisfacer los usuarios finales al considerar productos / servicios en este mercado? Los casos de uso deben coincidir con los escenarios de implementación de clientes comunes. Estos distintos escenarios de clientes definen los casos de uso.

Luego, el analista identifica las capacidades críticas. Estas capacidades son grupos generalizados de características comúnmente requeridas por esta clase de productos / servicios. A cada capacidad se le asigna un nivel de importancia para satisfacer esa necesidad particular; algunos conjuntos de características son más importantes que otros, según el caso de uso que se esté evaluando.
El producto o servicio de cada proveedor se evalúa en términos de qué tan bien ofrece cada capacidad, en una escala de cinco puntos. Estas calificaciones se muestran una al lado de la otra para todos los proveedores, lo que permite comparar fácilmente los diferentes conjuntos de características.

Las calificaciones y las puntuaciones resumidas oscilan entre 1.0 y 5.0:
1 = Deficiente o ausente: la mayoría o todos los requisitos definidos para una capacidad no se cumplen
2 = Regular: no se cumplen algunos requisitos
3 = Bueno: cumple con los requisitos
4 = Excelente: cumple o supera algunos requisitos
5 = Excepcional: supera significativamente los requisitos

Para determinar una puntuación general para cada producto en los casos de uso, las calificaciones del producto se multiplican por las ponderaciones para obtener la puntuación del producto en los casos de uso.

Las capacidades críticas que ha seleccionado Gartner no representan todas las capacidades de ningún producto; por lo tanto, puede que no representen los más importantes para una situación de uso u objetivo comercial específicos. Los clientes deben utilizar un análisis de capacidades críticas como una de las varias fuentes de información sobre un producto antes de tomar una decisión de producto / servicio.

Creado por Fintan Ryan , Kimihiko Iijima , Mark O’Neill , John Santoro , Akash Jain , Shameen Pillai. 

Fortalecimiento de su postura de seguridad API

El efecto bola de nieve de la ciberseguridad

Con las comunidades de desarrollo y los equipos de productos, hay muchas cosas que se han unido: todo, desde nuevos desarrolladores, la introducción de código abierto, nuevas APIs, técnicas de desarrollo ágiles, la nube, DevOps, DevSecOps, etc. Eventualmente, si no maneja esto, lo alcanzará y llegará a un punto sin retorno. Ya sea que sea una empresa pequeña, una empresa mediana o una gran empresa, si ignora y no aborda estos problemas, terminaremos en una brecha de seguridad (golpeada por la bola de nieve). Es posible que muchas personas no se den cuenta de que el ciberdelito es más rentable que el tráfico mundial de drogas. Ahora, considere ese hecho, y las API son importantes porque los delincuentes van a ir a donde están los datos.

La seguridad de la API todavía es relativamente nueva. El Top 10 de seguridad de API de OWASP se lanzó a finales del 2019. Por lo tanto, solo llevamos poco más de dos años para tener estas vulnerabilidades de seguridad de API bien definidas como una industria que los profesionales del software ahora pueden comenzar a abordar.

Entonces, la pregunta sigue siendo: ¿Cómo se puede evitar un incendio en un contenedor de seguridad de API?

Antes de hablar sobre lo que funciona, abordemos algunas fallas que hemos visto en el camino.

El enfoque Whack-a-Mole – Encontramos un problema; arreglamos un problema. Si alguna vez has jugado al juego, golpea un topo, sabes que lo golpeas con un mazo y aparece otro y, con el tiempo, su velocidad y número aumentan a medida que intentas golpearlos, tratando desesperadamente de mantener el ritmo. En algún momento te das cuenta de que no hay esperanza de ganar el juego porque los topos llegarán más rápido de lo que puedas derribarlos. Lo mismo ocurre con la analogía de la bola de nieve, nunca tendrás suficientes bolas de nieve para atacar todas las amenazas. Este enfoque puede funcionar por un tiempo, pero lo alcanzará y se producirá una infracción.

Solo vamos a monitorear todo: como el niño que gritó lobo, los profesionales de la seguridad son profetas del infortunio hasta que alguien ve un lobo. Todos sabemos que los lobos existen y son peligrosos, pero hasta que atacan, la guía de los profesionales de seguridad a menudo se reduce a una hipérbole. Si bien puede monitorear todo, nunca tendrá suficientes monitores o personas para responder a los monitores y su relación señal / ruido tiende a ser muy alta. Como la fábula, el niño que gritó lobo, la gente puede dejar de creerte debido a todos los falsos positivos.

Política y estándares obligatorios: las políticas y los estándares son buenos, pero no son suficientes. Solo son efectivos cuando los empleados los comprenden y los utilizan en el proceso de desarrollo, lo que significa que no solo se integra en el proceso de desarrollo, sino que también forma parte de la canalización y el lanzamiento. Si es algo que está fuera de la norma del día a día, rápidamente se olvida. Si esto no está automatizado, fallará.

el enfoque de comando y control: el siguiente enfoque es la gestión de arriba hacia abajo, el enfoque de comando y control. “¡Haz esto porque yo te lo dije!” Puede funcionar hasta cierto punto, pero de manera realista, los líderes que insisten en que sus equipos sigan sus decisiones sin cuestionar pueden perder muchos aprendizajes y comentarios constructivos que podrían mejorar los productos. Este tipo de enfoque también puede causar un desequilibrio para los equipos de productos ágiles.

Colaboración: personas, procesos y tecnología

La seguridad de la API es un acto de equilibrio. Hay un aspecto de personas, un aspecto de procesos y un aspecto de tecnología. Si están fuera de balance, te caerás de tu taburete y los malos estarán listos para atacar. La seguridad de la API no es un problema de seguridad, es una responsabilidad comercial compartida. Las personas, los procesos y las tecnologías deben trabajar juntos para gestionar el riesgo. Esto es muy importante. Si no lo hace, desperdiciará mucho dinero. Si te enfocas en la tecnología e ignoras a las personas y los procesos, fracasarás. Si te enfocas en los procesos, ignoras a las personas y la tecnología, fracasarás. Si te concentras en dos de ellos, aún fallarás. Es el equilibrio de estas tres cosas lo que crea la base para un programa de seguridad de API exitoso para una organización de cualquier tamaño.

Para que la seguridad sea completamente exitosa a través del acto de equilibrio de personas, procesos y tecnología, debe encontrar formas de eliminar el trabajo manual siempre que sea posible y aumentar los esfuerzos manuales con un enfoque de cambio a la izquierda para automatizar todo, comenzando en el momento del diseño. Solo a través de la automatización y la habilitación de DevSecOps, el equipo puede mantener su velocidad y entregar un producto seguro y de calidad.

Los 5 pasos para fortalecer la postura de seguridad de las API

  1. Conozca su inventario: si no sabe lo que hay, las cosas pueden perderse con bastante facilidad. Los equipos pueden salir por su cuenta y volverse deshonestos y hacer cosas con grandes intenciones, pero de repente descubres que hay muchos problemas de seguridad. Así que controle absolutamente todo su inventario de API. 
  2. Audite sus API sensibles: asegúrese de realizar una auditoría de seguridad en sus API más sensibles. De esta forma, puede encontrar y solucionar problemas de seguridad antes de que lo haga un atacante.

3.Ataque el Top 10 de seguridad de la API de OWASP: haga todo lo posible para abordar el Top 10 de seguridad de la API de OWASP. Si no está familiarizado con ellos, puede hacer clic en el siguiente para obtener más información:

A1: Control de acceso a nivel de objeto roto
A2: Autenticación rota
A3: filtrado de datos inadecuado
A4: Falta de recursos y limitación de velocidad
A5: Función faltante / control de acceso a nivel de recursos
A6: Asignación masiva
A7: Configuración incorrecta de seguridad
A8: inyección
A9: Gestión inadecuada de activos
A10: Registro y monitoreo insuficientes

4.Confíe pero verifique: debe confiar en que sus equipos harán lo correcto, pero somos humanos. La gente está bajo presión para cumplir con una fecha límite y se pueden cometer errores. A veces, las cosas simplemente suceden. Quiere asegurarse de poder verificarlo. Entonces, si algo sucede, se puede encontrar y reparar de inmediato.

5.Coordine la divulgación y la recompensa por errores: no asuma que la seguridad lo sabe todo. Invite a la gente buena para que le ayude a encontrar errores. ¡Te sorprenderá lo que puedes aprender de eso!

Más información sobre 42Crunch API Security Platform.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Las APIs, la seguridad y como detectar actividad maliciosa en nuestras APIs y su desarrollo en el ciclo de vida.

Las API modernas (especialmente en microservicios interconectados) erosionan los límites típicos de la red y reducen la efectividad de las protecciones perimetrales tradicionales, como los firewalls de aplicaciones web (WAF). Mauny sugiere que con la importancia cada vez menor del perímetro, es más importante proteger los datos que el perímetro en sí.

La otra consideración clave es garantizar que las herramientas de seguridad de API tengan el contexto completo para garantizar que la herramienta tome la decisión correcta, ya sea de forma estática (como cuando se audita un contrato de API con el estándar OpenAPI) o dinámicamente al imponer el comportamiento del tráfico en un punto final de API. Los WAF también ejemplifican cómo la falta de contexto los hace ineficaces para proteger una API: un WAF no puede distinguir el comportamiento malo (no intencionado) del comportamiento bueno (intencionado). 

Finalmente, el artículo destaca el valor de los contratos API como medio hacia un modelo de seguridad positivo, en el que se define claramente el comportamiento esperado, lo contrario de un modelo de seguridad negativo donde se infiere un mal comportamiento. Al utilizar una definición de API (como una definición de OpenAPI del contrato de API) es posible verificar el proceso de desarrollo de API en cada etapa del ciclo de desarrollo e implementación. Este enfoque le brinda al oficial de seguridad una visión temprana de la postura de seguridad de las API y garantiza que las API se pueden probar con sus contratos.

Aunque los entornos en la nube ofrecen a las empresas muchos beneficios de seguridad, continúan surgiendo nuevas vulnerabilidades que ofrecen a los atacantes nuevos caminos hacia los entornos basados en la nube. 

Una de esas rutas de ataque es la API. Cada aplicación móvil conectada, web moderna o alojada en la nube utiliza y expone API. Estas API permiten el acceso a los datos y llamar a la funcionalidad de la aplicación. Si bien son relativamente fáciles de exponer, son difíciles de documentar y defender. 

Como resultado, abundan las API ocultas y zombies, la verificación de tipos es laxa, las especificaciones de la API están incompletas y los problemas de autenticación y autorización a menudo aumentan. Para abordar estos desafíos, 42Crunch colaboró con Cisco para crear APIClarity, una nueva herramienta de código abierto para mejorar la configuración y protección de las API.

Un informe reciente de IBM revela que dos tercios de las brechas en la nube tienen su origen en una mala configuración de las implementaciones de API. El informe contiene 12 meses de hallazgos de varios equipos de investigación de IBM y concluye que los entornos de nube deben estar mejor protegidos, los hallazgos clave del informe incluyen:

  • Existe un vasto y próspero mercado negro para la reventa de detalles y credenciales de acceso a la nube pública, como el acceso al Protocolo de escritorio remoto.
  • Muchos sistemas podrían verse comprometidos debido a contraseñas deficientes y políticas inadecuadas.
  • Las API fueron la causa más común de compromiso, representando casi dos tercios de los casos identificados en el informe.
  • La erosión del perímetro tradicional ha dado lugar a escenarios más complejos que son difíciles de proteger con sistemas heredados.

Las principales recomendaciones del informe incluyen:

  • Los entornos deben protegerse mediante un refuerzo más sólido de los sistemas (por ejemplo, mediante la protección de contraseñas o la aplicación de políticas).
  • Se debe imponer un gobierno más estricto a la “TI en la sombra” porque representa un riesgo comercial no cuantificado y es una fuente frecuente de compromiso.
  • Las organizaciones deben comprender los riesgos inherentes a la rápida apertura al acceso público de las APIs que hasta ahora solo eran internas, ya que esto abre nuevos vectores de ataque. 

Cada vez más, los puntos finales de las APIs destinados a aplicaciones web o móviles están siendo atacados por robots y actores deshonestos, ser capaz de identificar estos ataques en los sistemas permite frustrar los ataques potenciales antes de que tengan éxito estas son algunas sugerencias clave (y relativamente simples) para los desarrolladores de API:

  • Utilice un dominio separado para aplicaciones web y móviles. Esto permite identificar la actividad espuria, por ejemplo, al poder detectar cuándo un navegador está accediendo a un punto final destinado a una aplicación móvil, un indicador principal de que un atacante humano puede estar intentando aplicar ingeniería inversa a la API.
  • Preste atención a la presencia de “rastreadores”, como Facebook y Google, que se utilizan comúnmente para enumerar sitios web, en los puntos finales de la API, especialmente en los de aplicaciones móviles. La presencia de rastreadores en los registros suele ser una indicación de reconocimiento activo y un ataque inminente.
  • Revise los registros de API periódicamente, prestando especial atención a las cadenas de agentes de usuario: una señal de comportamiento inusual o inesperado suele ser el precursor de un ataque.

Dado el aumento de los ataques de bots a las API, estas simples recomendaciones deberían resultar valiosas para los creadores de API.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Las herramientas de seguridad de la aplicación no están a la altura de la seguridad de la API

Las últimas dos décadas han visto una proliferación de software (según GitHub, solo en 2020 ha habido un aumento del 35% en los repositorios de código) en todos los aspectos de nuestras vidas en forma de aplicaciones web o móviles. Los adversarios han atacado cada vez más estas aplicaciones y los defensores han adoptado diversas herramientas y tecnologías de prueba para protegerlas.

Hoy en día, la mayoría de las empresas cuentan con un programa de seguridad de aplicaciones (AppSec) para gestionar la implementación de estas herramientas y gestionar las vulnerabilidades asociadas. La única constante en el mundo del desarrollo de software es el cambio, y nunca más que en los últimos años con la adopción generalizada de tecnologías nativas de la nube (como contenedores, plataformas de orquestación) y la ruptura del monolito a través de la adopción de microservicios.

Desafortunadamente para los equipos de AppSec, este panorama en rápida evolución ha significado que muchas de las herramientas que utilizan no están a la altura de la tarea de proteger sus aplicaciones.

En ninguna parte esto es más evidente que con la seguridad de las interfaces de programas de aplicación (API), que son fundamentales para todas las aplicaciones modernas. Las API presentan un desafío único desde la perspectiva de la seguridad debido a su singularidad desde el punto de vista del ataque, un hecho reconocido por OWASP, quien produjo una lista dedicada de los 10 principales para las vulnerabilidades de seguridad de las API .

Por qué las herramientas de AppSec existentes se comportan mal en las API

  
SAST no fue diseñado para aplicaciones centradas en API

El caballo de batalla de cualquier programa de AppSec es la prueba de seguridad de aplicaciones estáticas (SAST), que es una evaluación de “caja blanca” de las vulnerabilidades en una aplicación derivada del examen del código fuente y la creación de un modelo del flujo de datos a través de una aplicación para determinar dónde La aplicación puede ser vulnerable a ataques externos mediante, por ejemplo, ataques de inyección.

Las rutas de flujo de datos complejas o los marcos no compatibles reducen la precisión de un análisis SAST, ya que el modelo puede estar incompleto o ser inexacto.

En el caso de las API, esto es significativamente más complejo ya que la mayoría de las herramientas SAST están diseñadas para trabajar con aplicaciones web construidas como, por ejemplo, Java Servlet PHttpRequest.Bodyages o páginas ASP .Net.

En este caso, la herramienta SAST detecta instancias HttpRequest.Body dentro de una base de código, ya que normalmente así es como se construye una página web. Desafortunadamente, las API son significativamente más complejas, ya que se construyen de manera diferente utilizando una gran cantidad de marcos de terceros (como SpringBoot, Flask, etc.), y la detección de los puntos de entrada en la aplicación es más compleja, lo que genera modelos inexactos y tasas más altas de falsos negativos.

DAST carece de contexto de API

La prueba de seguridad de aplicaciones dinámicas (DAST) es una evaluación de “caja negra” de una aplicación en ejecución mediante el ejercicio de los puntos finales de la aplicación de la misma manera que lo haría un usuario, o un atacante. Las herramientas DAST son expertas en “spidering” una aplicación web para determinar la estructura de la página y los campos de entrada y luego atacar estos campos para identificar vulnerabilidades.

Desafortunadamente, para una API, el escáner DAST no puede enumerar los puntos finales de la API, lo que hace que tales ataques sean imposibles. Algunas herramientas DAST (como OWASP ZAP ) pueden ingerir un archivo OpenAPI / Swagger para iniciar el proceso de spidering.

Incluso en este caso, sin una comprensión más profunda de los puntos finales de la API, las herramientas DAST no pueden proporcionar una evaluación inteligente de la seguridad de la API. Por ejemplo, un escáner DAST no podrá identificar problemas de Autorización de nivel de objeto roto ( BOLA ) a menos que tenga conocimiento del valor del parámetro utilizado para identificar el objeto (para identificar este campo) y luego poder interpretar el respuesta para determinar si el ataque tuvo éxito o si se devuelve algún error.

Desplazamiento a la izquierda en seguridad API

Las herramientas de seguridad han mostrado grandes avances en la última década, sin embargo, el impedimento más importante para las iniciativas de AppSec altamente escalables y efectivas es que las actividades de seguridad se llevan a cabo demasiado tarde en el ciclo de vida de desarrollo de software (SDLC).

Probar demasiado tarde aumenta el costo de la remediación y reduce la probabilidad de que el desarrollador repare. En el caso de las aplicaciones monolíticas típicas, no había otra alternativa que probar al final del ciclo, ya que se requería una instancia funcional y en ejecución de la aplicación para realizar las pruebas, particularmente para DAST.

Con el advenimiento de una arquitectura centrada en API basada en microservicios, es posible probar cada una de las API individuales a medida que se desarrollan en lugar de requerir una instancia completa de una aplicación, lo que permite un enfoque de “cambio a la izquierda” que permite la prueba temprana de componentes individuales. .

Debido a que las API se especifican antes en el SDLC y tienen un contrato definido (a través de una especificación OpenAPI / Swagger), son ideales para un enfoque de prueba de seguridad preventivo de “cambio a la izquierda”: la especificación de API y la implementación subyacente se pueden probar en un IDE de desarrollador como una actividad independiente.

El núcleo de este enfoque son las herramientas de prueba específicas de API, ya que se requiere un conocimiento contextual del contrato de API. Las herramientas SAST / DAST existentes serán en gran parte inadecuadas en esta aplicación; en la discusión sobre las pruebas DAST para detectar BOLA identificamos la incapacidad de la herramienta DAST para comprender el comportamiento de la API.

Al especificar el comportamiento de la API con un contrato, se puede aplicar y verificar el comportamiento correcto, lo que permite un modelo de seguridad positivo (el comportamiento deseado está en la lista blanca) en lugar de un enfoque de lista negra como DAST.

El siguiente diagrama resume las diferencias clave entre las pruebas nativas de seguridad de API y las pruebas DAST, de 42Crunch :

Fuente: 42Crunch.

Las herramientas de prueba de seguridad que he discutido generalmente son operadas por los equipos de seguridad o AppSec de una organización y, a menudo, se imponen a los desarrolladores que pueden encontrarlas inadecuadas para las prácticas de desarrollo modernas, como la integración continua (CI) y la implementación continua (CD), lo que a veces lleva al desarrollador frustración y menores tasas de adopción de herramientas de seguridad.

Por el contrario, es más probable que se adopten y utilicen activamente las herramientas de seguridad de API que pueden agregar valor al esfuerzo de desarrollo (por ejemplo, permitiendo la validación continua de las especificaciones de API) dentro de sus entornos.

Conclusión

¿Tienen las herramientas de prueba de seguridad más tradicionales, como SAST y DAST, un lugar en su entorno de desarrollo de API? Es casi seguro que la respuesta es sí, especialmente si tiene una inversión y un proceso centrados en estas herramientas. Al aprovechar la naturaleza declarativa de las especificaciones de API, una organización inteligente puede utilizar herramientas específicas de API para adoptar un enfoque de “cambio a la izquierda” y aplicar y probar la seguridad de API mediante un modelo de seguridad positivo. Todas las API resultantes producidas se garantizan seguras por diseño, lo que proporciona una base sólida para la pila de aplicaciones de alto nivel (páginas web o aplicaciones móviles) que se pueden probar utilizando herramientas SAST / DAST.

Publicado originalmente en The New Stack

Publicado en 

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Red Hat OpenShift en Azure

Red Hat OpenShift en Azure amplía Kubernetes. La ejecución de los contenedores en producción con Kubernetes requiere herramientas y recursos adicionales. Esto suele incluir la necesidad de trabajar con registros de imágenes, la administración de almacenamiento, las soluciones de red y las herramientas de registro y supervisión, todo lo cual debe tener versiones y probarse junto. La creación de aplicaciones basadas en contenedor requiere un trabajo de integración aún mayor con middleware, marcos, bases de datos y herramientas de CI/CD.

Red Hat OpenShift en Azure combina todo esto en una sola plataforma, ofreciendo facilidad de operaciones a los equipos de TI mientras proporciona a los equipos de aplicaciones lo que tienen que ejecutar.

Red Hat y Microsoft han diseñado, operado y admitido Red Hat OpenShift en Azure de forma conjunta para ofrecer una experiencia de soporte integrado. No hay máquinas virtuales que operar y no se requiere ninguna aplicación de revisiones. Red Hat y Microsoft revisan, actualizan y supervisan los nodos maestros, de infraestructura y aplicación en su nombre. Sus clústeres de Red Hat OpenShift en Azure se implementan en su suscripción a Azure y se incluyen en su factura de Azure.

Puede elegir sus propias soluciones de CI/CD, almacenamiento, red y registro, o bien usar las soluciones integradas para la administración de código fuente automatizada, la creación de contenedores y aplicaciones, implementaciones, el escalado, la administración del estado, etc. Red Hat OpenShift en Azure proporciona una experiencia de inicio de sesión integrada a través de Azure Active Directory.

Beneficios de Red Hat OpenShift en Azure:
      • Cree, implemente y escale aplicaciones en OpenShift con confianza, ARO ofrece clústeres totalmente administrados y de alta disponibilidad a petición, supervisados y gestionados conjuntamente por Microsoft y Red Hat.
      • Es una plataforma de contenedores como servicio (PaaS) con una experiencia de desarrollador y operador notablemente mejorada.
      • Centrese en lo más importante con aprovechando la interfaz de usuario mejorada para la topología y la compilación de aplicaciones en la consola web.
      • Automatice la compilación, las pruebas y la implementación de las aplicaciones con OpenShift Pipelines, un sistema de integración e implementación continuas (CI/CD) sin servidor diseñado para escalarse.
      • Pruebe una experiencia de desarrollo rápido en la nube utilizando Red Hat CodeReady Workspaces.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Red Hat OpenShift Service on AWS

Red Hat OpenShift Service en AWS (ROSA) es un servicio OpenShift totalmente administrado de manera conjunta y respaldado por Red Hat y Amazon Web Services (AWS), con este servicio usted tendrá la libertad de concentrarse en la implementación de aplicaciones mediante:

  • Consolas de creación de clústeres: Para crear un nuevo clúster, comience desde la consola de administración de AWS usando ROSA. Esto se integra con la nueva API y CLI de rosa para aprovisionar clústeres en su cuenta de AWS. La nueva API para la creación de clústeres alivia la carga de implementar manualmente el clúster en su VPC y cuenta existentes.
  • Experiencia de consumo: Una vez creados los clústeres, puede operarlos con la consola web de OpenShift o con el Administrador de clústeres de OpenShift. El servicio ROSA también utiliza API de OpenShift. Estas herramientas brindan una experiencia OpenShift estandarizada para aprovechar sus habilidades y conocimientos de herramientas existentes. Recibe actualizaciones de OpenShift con nuevas versiones de funciones y una fuente común compartida para alinearse con OpenShift Container Platform. ROSA admite las mismas versiones de OpenShift que Red Hat OpenShift Dedicated y OpenShift Container Platform para lograr la coherencia de las versiones.
  • Integración con los servicios de AWS: ROSA puede integrarse con una variedad de servicios de computación, bases de datos, análisis, aprendizaje automático, redes, dispositivos móviles y diversas aplicaciones de AWS, lo que permite a los clientes beneficiarse de los más de 170 servicios de AWS que escalan bajo demanda en todo el mundo. Se puede acceder directamente a estos servicios nativos de AWS para implementar y escalar servicios rápidamente a través de la misma interfaz de administración.
  • Uso del servicio de token de seguridad de AWS: El servicio de token de seguridad (STS) de Amazon Web Services (AWS) es un servicio web global que proporciona credenciales a corto plazo para IAM o usuarios federados. Puede utilizar AWS STS con Red Hat OpenShift Service en AWS (ROSA) para asignar credenciales temporales con privilegios limitados para roles de IAM específicos de componentes. El servicio permite que los componentes del clúster realicen llamadas a la API de AWS mediante prácticas seguras de gestión de recursos en la nube. Puede utilizar la CLI de rosa para crear el rol de IAM, la política y los recursos del proveedor de identidad necesarios para los clústeres de ROSA que utilizan STS.

Red Hat OpenShift en AWS es una plataforma para desarrollar e implementar aplicaciones en contenedores; que permite ser implementado en contenedores simples o en operadores avanzados de Kubernetes, en ellos podemos hacer:

  • Crear proyectos desde la consola web o CLI para organizar y compartir el software que se desarrolla.
  • Utilizar la perspectiva del desarrollador en Red Hat OpenShift Service en la consola web de AWS para crear e implementar aplicaciones fácilmente. Usar la vista Topología para interactuar visualmente con sus aplicaciones, monitorear el estado, conectar y agrupar componentes y modificar su base de código.
  • Utilizar la herramienta CLI para crear aplicaciones de uno o varios componentes fácilmente y automatizar la implementación, la construcción y las configuraciones de rutas de servicio. Abstraer conceptos complejos que le permite a los desarrolladores centrarse en el desarrollo de sus aplicaciones.
  • Crear canalizaciones con los sistemas sin servidor, nativos de la nube, de integración continua y de implementación continua que se ejecutan en contenedores aislados. Utilizar recursos personalizados estándar de Tekton para automatizar implementaciones y están diseñados para equipos descentralizados que trabajan en arquitectura basada en microservicios.
  • Crear aplicaciones en clúster para ROSA; Obtenga información sobre el  Operator Framework y cómo implementar aplicaciones utilizando operadores instalados en sus proyectos.
  • Elija entre diferentes estrategias de compilación (Docker, S2I, personalizadas y canalizadas) que pueden incluir diferentes tipos de materiales de origen (de lugares como repositorios de Git, entradas binarias locales y artefactos externos). Luego, siga ejemplos de tipos de compilación, desde compilaciones básicas hasta compilaciones avanzadas.
  • Crear imágenes de contenedor utilizando ROSA, con la definición de secuencias de imágenes le permitirá recopilar varias versiones de una imagen en un solo lugar a medida que continúa su desarrollo. Los contenedores S2I le permiten insertar su código fuente en un contenedor base que está configurado para ejecutar código de un tipo particular (como Ruby, Node.js o Python).
  • Use los objetos Deployment y DeploymentConfig para ejercer una administración detallada de las aplicaciones. Utilice la página de cargas de trabajo o la CLI para administrar las implementaciones. Aprenda estrategias de implementación personalizadas, recreativas y continuas.
  • Use plantillas existentes o cree sus propias plantillas que describan cómo se construye o implementa una aplicación. Una plantilla puede combinar imágenes con descripciones, parámetros, réplicas, puertos expuestos y otro contenido que define cómo se puede ejecutar o construir una aplicación.

Actividades del administrador del clúster

 

Si bien el equipo de Ingeniería de confiabilidad del sitio (SRE) de Red Hat Site Reliability Engineering (SRE) realiza el mantenimiento del clúster y la configuración del host, el equipo administrador de ROSA cuenta con todas las capacidades para hacerlo además de las siguientes funciones especificas para esta integración:

  • Gestionar administradores dedicados: conceda o revoque permisos a usuarios administradores dedicados.
  • Trabajar con Logging: obtenga información sobre el servicio Red Hat OpenShift Service en AWS Logging y configure los servicios complementarios de registro.
  • Supervisar clústeres: aprenda a utilizar la interfaz de usuario web para acceder a los paneles de supervisión.
  • Administrar nodos: aprenda a administrar nodos, incluida la configuración de grupos de máquinas y el ajuste de escala automático.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Fundamentos de Amazon Web Services (AWS)

Amazon Web Services (AWS) es la plataforma número uno en la nube, cuenta con presencia en más de 245 países, 25 regiones y 81 zonas a nivel mundial, con más de 200 servicios, encontramos en ella servicios desde la implementación de cargas a un clic de distancia, creación, diseño o desarrollo de aplicaciones específicas, infraestructuras moldeables a las necesidades del cliente, análisis de Big Data entre otras, es considerado el ecosistemas más grande y dinámico del sector, siendo el líder por mas de diez años consecutivos. 

Gracias a su ecosistema dinámico le ha permitido a la aplicación llegar a todos los sectores de la economía, en todos los niveles empresariales, demostrando así que sus soluciones están diseñadas para ajustarse a las necesidades propias de cada cliente, de manera ágil, innovadora, rápida y eficaz.

Gracias a su ecosistema dinámico le ha permitido a la aplicación llegar a todos los sectores de la economía, en todos los niveles empresariales, demostrando así que sus soluciones están diseñadas para ajustarse a las necesidades propias de cada cliente, de manera ágil, innovadora, rápida y eficaz.

Seguridad

Eficacia del Rendimiento

Fiabilidad

Excelencia operativa

Optimización de costos

                                                 Queremos ser su aliado tecnológico

                         Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.