Orientation sur les passerelles d’interface de programmation d’applications (API)

Sur cette page

  1. Gérer l’achalandage
  2. Contrôler la connectivité
  3. Contrôler l’accès
  4. Inspecter le contenu
  5. Surveiller les demandes

Les interfaces de programmation d’applications (API) fournissent des interfaces puissantes pour accéder à distance aux données et aux fonctionnalités système. L’accès intersystémique direct activé au moyen des API augmente le risque et l’incidence d’une brèche de sécurité. La sécurité de l’API doit être au premier plan de la mise en œuvre de toutes API. La passerelle API est un concept de solution qui permet de gérer les divers risques de sécurité associés à l’exposition des API à l’intérieur et à l’extérieur d’une organisation, comme la limitation et le proxy.

L’orientation est destinée à servir de jeu de données de base pour les praticiens techniques (p. ex., les développeurs d’API, les architectes) lors de la mise en œuvre de solutions axées sur l’API. Il ne s’agit en aucun cas d’une liste exhaustive de toutes les fonctionnalités de passerelle API possibles. Le marché des technologies de passerelle API évolue rapidement, notamment en raison de l’augmentation des architectures de microservice, et les limites entre les passerelles API, la gestion des API, les bus de service d’entreprise et les maillages de service se brouillent rapidement. Il n’existe pas d’approche unique pour les passerelles API et il est peu probable qu’un seul produit réponde à tous vos besoins.

1. Gérer l’achalandage

Diverses méthodes doivent être déployées pour contrôler la quantité de l’achalandage qui atteint une API afin de réduire le risque de voir le retrait d’en raison de charges de requêtes élevées inattendues, qu’elles soient malveillantes ou non. La plupart de ces méthodes sont disponibles même dans les technologies de proxy inverse HTTP de source libre les plus basiques (p. ex., NGINX).

2. Contrôler la connectivité

Les passerelles API fournissent un point de consolidation de la connectivité pour simplifier et contrôler les flux réseau entre les API et les consommateurs d’API. Cela est particulièrement important pour les API exposées à d’autres ministères ou à des parties externes, car les IP internes doivent être retirées des systèmes externes. Cela garantit également que toute modification interne de la topologie de déploiement ou de l’infrastructure n’a pas d’incidence sur les consommateurs d’API. Ces fonctionnalités sont généralement disponibles dans toutes les technologies de proxy inverse HTTP et sont universellement disponibles dans la plupart des produits de passerelle API.

3. Contrôler l’accès

Des solutions de passerelle API plus solides offrent une authentification et une autorisation sur les demandes d’API. Même si le déchargement de la lourde charge dans la logique d’authentification et d’autorisation est logique dans certains cas, cela ne signifie pas que l’authentification ou l’autorisation n’est pas nécessaire aussi au niveau de l’API. Les API non authentifiées ne sont appropriées que pour les données ouvertes et les API publiques non classifiées, tandis que le contrôle d’accès à la passerelle est une couche de sécurité supplémentaire pour les données plus sensibles.

4. Inspecter le contenu

Les solutions de passerelle API axées sur la sécurité permettent d’effectuer une grande partie des mesures de sécurité des données de charge utile en plus de les mettre en œuvre dans l’API elle-même. L’objectif est de déplacer le point initial d’application de la sécurité plus loin dans le périmètre et loin des données sans compromettre la position de sécurité de l’API elle-même.

5. Surveiller les demandes

Tout l’achalandage, au moyen de la solution de passerelle API, doit être surveillé, consigné et signalé. Ces données sont l’un des principaux avantages de l’utilisation d’une passerelle et devraient être utilisées pour fournir à la fois une vue opérationnelle et une vue organisationnelle sur la façon dont l’API est exploitée et son rendement.

Détails de la page

Date de modification :