Publicado originalmente en NordicAPIs
Gobierno de APIs es como cualquier otra área de TI en la cual hay una necesidad de entender el uso de recursos, gestionar reglas y definir o validar políticas de seguridad. El tema es sobre identificar y gestionar las buenas prácticas de Design de APIs, pruebas de calidad, documentación, seguridad y evaluación de todos los aspectos de API lifecycle (similar a los protocolos de gobierno de compañías). Un área fundamental del gobierno de APIs es la medición de los reales impactos de las APIs en las empresas. Para esto, es necesario una evaluación sobre sus usos. En realidad, la mayoría de las empresas no logran completar el gobierno desde un punto de vista más completo, resultando en brechas de seguridad y de control de acceso. Este artículo abordará cómo el Gobierno de APIs puede prevenir este tipo de problema en sus equipos de TI.
Existen diferentes tipos de definir y aplicar gobierno de APIs, los más comunes son: centralizado, descentralizado y distribuido
Cualquier cambio arquitectural, desde la implementación de una nueva feature hasta actualizaciones o introducción de nuevos elementos arquitecturales son siempre revisados y aprobados por un equipo centralizado. Dependiendo de la escala del modelo adoptado, esto puede resultar en cuellos de botella en el equipo con el alto volumen de demandas.
Similar al modelo anterior, sin embargo, existen pequeños equipos que tienen autonomía para evaluar y decidir sobre ciertos aspectos arquitecturales, ya sea para una situación específica o un conjunto de aplicaciones relacionadas. A pesar de haber beneficios en este modelo, los equipos también deben seguir rígidos protocolos para garantizar que los cambios mayores no impacten a la compañía.
Este modelo introduce el concepto de equipos múltiples que son especialistas y responsables de productos específicos. Conocimiento del negocio y aspectos de gobierno son fundamentales para garantizar que el nivel correcto de control está establecido.
Gobierno Adaptativo es la habilidad de determinar estilos de controles necesarios para diferentes contextos de negocios digitales. Las unidades de negocios tienen diferentes tipos de necesidad cuando estamos hablando sobre el lanzamiento de productos digitales, pudiendo incluso tener diferentes ambientes para habilitar a los asociados a desarrollar y probar sus integraciones. El gobierno adaptativo le posibilita a cada unidad de negocios definir sus workflows, el nivel correcto de control para cada etapa, incluyendo control de calidad y políticas, y los ambientes asociados a los workflows que están conectados con el mismo API gateway de la compañía. Un modelo robusto de gobierno requiere tres áreas: control, agilidad y autonomía.
Aplicación basada en reglas y regulaciones definidas por el ambiente de operaciones de la compañía. Open Banking, LGPD, PCI-DSS son regulaciones que requieren ciertos niveles de seguridad para mantener el compliance.
Le permite al equipo definir y decidir cuáles reglas son aplicables al escenario
Es más común en escenarios con mayores niveles de automaciones. Las decisiones pueden ser tomadas en real-time, especialmente interacciones en el nivel machine-to-machine. Mientras más cercana esté del modelo de autonomía, mayor será la madurez y más complejo se torna el gobierno.
Una estrategia de gobierno robusta les trae muchos beneficios a los programas de APIs. Los beneficios principales incluyen controles ajustables, ciclos de revisión y visibilidad. Vamos a ver más específicamente cada uno de ellos.
Con un gobierno bien hecho, los controles ajustables serán programados y accionados cuando sean necesarios, por ejemplo, en la gestión de versiones, controles de acceso, auditoría de APIs y seguridad. Definir e imponer control garantiza que las estrategias están siendo seguidas, por ejemplo, con control de versiones. Cuando hay planificado una nueva versión para su API, existen algunos pasos a ser seguidos para evitar problemas con integraciones ya existentes, y así hacer la actualización de la versión anterior. Esto también garantiza que los mecanismos de seguridad, como protección contra amenazas y control de acceso, estén en su lugar y sean compatibles con los ambientes de las APIs. En el caso de ambientes regulados, como PCI-DSS, garantiza el nivel correcto de auditoría y hay adición de logs.
Una buena estrategia de gobierno tiene ciclos de revisión para garantizar la relevancia de los procesos y garantizar compliance con las nuevas regulaciones, requisitos de asociados y otras necesidades. Ciclos de revisión deben ser definidos garantizando que la estrategia se mantenga relevante, con mecanismos establecidos y que los controles sean seguidos.
El gobierno de la calidad de APIs le trae gran transparencia a los mecanismos de APIs generalmente utilizados, habilitando mejorías en las estrategias de gobierno y de APIs. La visibilidad posee dos elementos: Diseño y Operación. El diseño se enfoca en entender cómo las diferentes iniciativas, de diferentes partes de la compañía, están adaptándose y adhiriendo a las estrategias. Las operaciones identifican cómo las APIs están siendo utilizadas por diferentes asociados e integraciones y cuál es el impacto de estas APIs en términos de volumen, usuarios y la comunicación con diferentes back-ends con la exposición de los servicios.
Definir una estrategia de Gobierno de APIs no es tarea fácil, especialmente cuando tenemos diferentes factores para considerar: el modelo correcto, niveles de prioridad para diferentes elementos y diversas políticas. Además de esto, diversas discusiones podrán ocurrir antes de la definición de la estrategia para que las APIs y todas las estrategias involucradas estén más maduras y preparadas para nuevos desafíos, sin embargo al final será gratificante. Lo importante es tener las herramientas correctas para identificar el diseño y las mejores prácticas y automatizar las rutinas. Gibson Nascimento es Head of Solution para EMEA en Sensedia, y tiene más de 14 años de experiencia en Desarrollo de Software, Metodologías Ágiles y Arquitecturas. Es especialista en APIs y ya actuó en diversas industrias.
Hey, click and join the Sensedia News!