August 25, 2020
Gibson
Nascimento

O que é Governança de APIs?

Publicado originalmente em NordicAPIs

Governança de APIs é como qualquer outra área de TI na qual há uma necessidade de entender o uso de recursos, gerenciar regras e definir ou validar políticas de segurança. O tema é sobre identificar e gerenciar as boas práticas de Design de APIs, testes de qualidade, documentação, segurança e avaliação de todos os aspectos de API lifecycle (similar aos protocolos de governança de companhias). Uma área fundamental da governança de APIs é a medição dos reais impactos das APIs nas empresas. Para isso, é necessário uma avaliação sobre seus usos. Na realidade, a maioria das empresas não conseguem completar a governança de um ponto de vista mais completo, resultando em brechas de segurança e de controle de acesso. Esse artigo abordará como a Governança de APIs pode prevenir esse tipo de problema nos seus times de TI.

Os diferentes modelos de Governança

Existem diferentes tipos de definir e aplicar governança de APIs, os mais comuns são: centralizado, descentralizado e distribuído

Centralizado

Qualquer mudança arquitetural, desde a implementação de uma nova feature até atualizações ou introdução de novos elementos arquiteturais são sempre revisados e aprovados por um time centralizado. Dependendo da escala do modelo adotado, isso pode resultar em gargalos no time com o alto volume de demandas.

Descentralizado

Similar ao modelo anterior, porém existem pequenos times que têm autonomia para avaliar e decidir sobre certos aspectos arquiteturais, seja para um situação específica ou um conjunto de aplicações relacionadas. Apesar de haver ganhos nesse modelo, os times ainda precisam seguir rígidos protocolos para garantir que mudanças maiores não impactem a companhia.

Distribuído

Esse modelo introduz o conceitos de times múltiplos que são especialistas e responsáveis por produtos específicos. Conhecimento do negócio e aspectos de governança são fundamentais para assegurar que o nível correto de controle estão estabelecidos.

Adaptive Governance

Governança Adaptativa é a habilidade de determinar estilos de controles necessários para diferentes contextos de negócios digitais. Unidades de negócios têm diferentes tipos de necessidade quanto estamos falando sobre o lançamento de produtos digitais, podendo até mesmo ter diferentes ambientes para habilitar parceiros para desenvolver e testar suas integrações. A governança adaptativa possibilita cada unidade de negócios definir seus workflows, o nível certo de controle para cada etapa, incluindo controle de qualidade e políticas, e os ambientes associados aos workflows que estão conectados com o mesmo API gateway da companhia. Um modelo robusto de governança requer três áreas: controle, agilidade e autonomia.

Controle

Aplicação baseada em regras e regulações definidas pelo ambiente de operações da companhia. Open Banking, LGPD, PCI-DSS são regulações que requerem certos níveis de segurança para manter o compliance.

Agilidade

Permite o time definir e decidir quais regras são aplicáveis ao cenário

Autonomia

É mais comum em cenários com maiores níveis de automações. Decisões podem ser tomadas em real-time, especialmente interações no nível machine-to-machine. Quanto mais próxima do modelo de autonomia, maior a maturidade e mais complexa a governança se torna.

Benefícios de uma boa estratégia de Governança de APIs

Uma estratégia de governança robusta traz muitos benefícios aos programas de APIs. Os benefícios principais incluem controles ajustáveis, ciclos de revisão e visibilidade. Vamos ver mais especificamente cada um deles.

Controles ajustáveis

Com uma governança bem feita, os controles ajustáveis serão programados e acionados quando necessários, por exemplo, no gerenciamento de versões, controles de acesso, auditoria de APIs e segurança.Definir e impor controle assegura que as estratégias estão sendo seguidas, por exemplo, com controle de versões. Quando há planejado uma nova versão para sua API, existem alguns passos a serem seguidos para evitar problemas com integrações já existentes, e assim fazer a atualização da versão anterior. Isso também assegura que os mecanismos de segurança, como proteção contra ameaças e controle de acesso, estejam no lugar e compatíveis com os ambientes das APIs. No caso de ambientes regulados, como PCI-DSS, assegura o nível certo de auditoria e há adição de logs.

Ciclos de revisão

Uma boa estratégia de governança têm ciclos de revisão para assegurar a relevância dos processos e garantir compliance com as novas regulações, requisitos de parceiros e outras necessidades. Ciclos de revisão precisam ser definidos assegurando que a estratégia se mantenha relevante, com mecanismos estabelecidos e que os controles sejam seguidos.

Visibilidade

A governança da qualidade de APIs traz grande transparência aos mecanismos de APIs geralmente utilizados, habilitando melhorias nas estratégias de governança e de APIs.Visibilidade possui dois elementos: Design e Operação. O design foca em entender como as diferentes iniciativas, de diferentes partes da companhia, estão se adaptando e aderindo às estratégias. Operações identificam como as APIs estão sendo utilizadas por diferentes parceiros e integrações e qual o impacto dessas APIs em termos de volume, usuários e a comunicação com diferentes back-ends com a exposição dos serviços.

Conclusão

Definir uma estratégia de Governança de APIs não é tarefa fácil, especialmente quando temos diferentes fatores para considerar: o modelo certo, níveis de prioridade para diferentes elementos e diversas políticas. Além disso, diversas discussões poderão acontecer antes da definição da estratégia para que as APIs e toda as estratégias envolvidas estejam mais maduras e preparadas para novos desafios, porém ao final será recompensador. O importante é ter as ferramentas certas para identificar o design e as melhores práticas e automatizar as rotinas.Gibson Nascimento é Head of Solution for EMEA na Sensedia, e tem mais de 14 anos de experiência em Desenvolvimento de Software, Metodologias Ágeis e Arquiteturas. É especialista em APIs e já atuou em diversas indústrias.

Obrigado pela leitura!

Voltar ao arquivo