API gateway seguro: o que é e como funciona?

O que é um API gateway seguro?

As organizações digitais de sucesso reconhecem que, quanto mais conectam suas APIs a um ecossistema mais amplo de aplicativos, desenvolvedores, parceiros e experiências de clientes, maior é o valor delas. No entanto, abrir esse valor também pode levar à abertura de novas vulnerabilidades de segurança. Sempre que uma organização permite o acesso público às suas APIs, é fundamental garantir que essas APIs estejam protegidas de forma adequada e operando com a funcionalidade ideal.

API gateways são um componente comum em arquiteturas modernas, ajudando as organizações a rotear suas solicitações de API, agregar respostas de API e aplicar acordos de nível de serviço por meio de recursos como o limite de taxa. Mas um API gateway também desempenha um papel importante como ponto de acesso seguro que protege as APIs de uma organização. Os API gateways implementam criptografia e controle de acesso padrão do setor –– oferecendo aos desenvolvedores de API uma maneira de permitir que as pessoas entrem e direcioná-las para o lugar certo. Os gateways apontam para as APIs e serviços de back-end que você define e os abstrai em uma camada que pode ser regulada por sua solução de API management.

Como um API gateway protege seus sistemas?

Os melhores API gateways são projetados desde o início para fornecer segurança robusta. Um API gateway normalmente desempenha as seguintes funções:

  • Servir como um ponto de controle proxy integrado de APIs.
  • Verificar a identidade associada às solicitações de API por meio de validação de credencial e token, bem como outros meios de autenticação.
  • Determinar qual tráfego está autorizado a passar pela API para serviços de back-end.
  • Medir o tráfego que flui pelas APIs usando limite de taxa e estrangulamento. 
  • Registrar todas as transações e aplicar políticas de runtime para garantir a governança.
  • Fornecer segurança até o último minuto para os serviços de back-end que alimentam as APIs. 

A plataforma de API management líder de mercado da MuleSoft oferece segurança de nível empresarial de ponta a ponta, incluindo um componente de API gateway de alto desempenho.

O API gateway aponta para as APIs e serviços de back-end que você define e os abstrai em uma camada que a solução Anypoint Platform gerencia. Os aplicativos de consumo invocam seus serviços. As APIs são roteadas para os pontos de extremidade que o gateway expõe para impor políticas de runtime, coletar e rastrear dados analíticos. O API gateway atua como uma camada de orquestração dedicada para todas as APIs de back-end para separar a orquestração das questões de implementação. O gateway aproveita os recursos de governança do API Manager para que você possa aplicar estrangulamento, segurança e outras políticas às suas APIs.

Diagrama do API gateway seguro

Introdução ao API gateway da MuleSoft

O Mule runtime engine inclui um API gateway integrado. Com esse gateway, os usuários podem aplicar uma política de autenticação básica a um aplicativo Mule ou aprimorar uma mensagem de entrada/saída para uma API sem a necessidade de escrever qualquer código. 

O API gateway permite que você adicione uma camada de orquestração dedicada às suas APIs e serviços de back-end para separar a orquestração das questões de implementação. Você pode aproveitar os recursos de governança do API Manager para aplicar, entre outros recursos, estrangulamento, segurança, armazenamento em cache e registro de solicitações e respostas de API.

Conectores disponíveis para o API gateway: 

  • HTTP/S
  • Jetty
  • Web Services Consumer
  • Arquivo JDBC

Recursos de integração: 

  • Processadores de mensagens
  • Gerenciamento de transações
  • Gerenciamento de erros
  • Mule Expression Language (MEL)
  • DataWeave (Transform Message)
  • DataMapper
  • DataWeave

Implementação:

O API gateway pode ser implantado na nuvem ou on-premises. Decidir sobre o ambiente certo para seu caso de uso depende de vários fatores, incluindo a localização dos pontos de extremidade de back-end, arquitetura corporativa e política de segurança corporativa. Os gateways podem ser implantados como nós únicos ou em clusters para dar suporte a casos de uso de alta disponibilidade e alto rendimento.

Opções de instalação:

  • Instalação on-premises: instale e gerencie o gateway atrás de seu firewall.
  • Instalação na nuvem: use o API gateway na nuvem se você não quiser instalar e manter nenhum software MuleSoft para seu gateway. 

As vantagens de um API gateway flexível

Embora API gateways sejam uma parte padrão do API management, o API gateway fornecido com a solução Anypoint Platform tem um diferencial: pode ser implementado em qualquer lugar — on-premises ou na nuvem. Essa flexibilidade leva a uma implementação mais rápida de serviços. O gateway aproveita as políticas de governança definidas no API Manager. Isso significa que segurança e outras políticas podem ser aplicadas como você preferir.

Está se tornando cada vez mais importante para as empresas ter a flexibilidade de implementar on-premises ou na nuvem e personalizar a segurança de acordo com suas necessidades. Conforme desenvolvem uma infraestrutura híbrida, as empresas precisam integrar vários serviços, aplicativos e fontes de dados que vêm de vários lugares. Conjuntos de dados e ferramentas díspares podem levar a silos de dados, trabalho duplicado e uma equipe de TI ineficiente. 

Ter uma plataforma unificada de integração e API management permite que você gerencie usuários, monitore e analise o tráfego e proteja APIs com políticas ordenadas em um só lugar. A capacidade unificada da solução Anypoint Platform viabiliza o API management para cada conexão com um único runtime que pode ser implementado como mecanismo de integração e API gateway.