© GreenFlash/Shutterstock.com
Aktuelle Möglichkeiten bei API-Gateways

Fokus auf die Sicherheit


Das Konzept von Microservices ist beinahe deckungsgleich mit Cloud-nativen Anwendungen: kleine Komponenten, die miteinander vernetzt und als lose verknüpfte Services bereitgestellt werden. Um APIs erfolgreich in Microservices-Umgebungen einzusetzen, müssen Unternehmen Tools bereitstellen, die Entwicklern die automatisierte Erstellung, Implementierung und Veröffentlichung von APIs ermöglichen – idealerweise als Teil einer CI/CD Pipeline. Anzustreben ist dabei eine iterative Vorgehensweise mit starkem Fokus auf Sicherheit.

Programmierschnittstellen (APIs) gibt es schon seit Jahrzehnten, API-Gateways sind also nichts Neues. Aber im Zuge der Entwicklung weg von monolithischen hin zu Microservices-basierten Apps wechseln Unternehmen weitgehend von SOAP APIs mit XML-codierten Payloads zu REST APIs mit JSON-codierten Payloads. Geändert haben sich damit nicht nur die zugrunde liegende Technologie und die Datenformate, sondern auch die Art, wie APIs erstellt werden, sowie die Methoden der Informationsübermittlung und Interaktion.

Microservices und API-Management

Eine hochgradig verteilte Umgebung mit Hunderten von APIs, die von verschiedenen Entwicklern betreut werden, stellt naturgemäß eine Herausforderung dar. Möglicherweise nutzen sie mehrere API-Gateways – eines pro API, eines für jedes Team, das die APIs entwickelt usw. Da in der Produktion externe Parteien Zugang zu APIs haben, spielen Sicherheitsaspekte eine wichtige Rolle.

Bei Ende-zu-Ende-Konfiguration des TLS-Protokolls zum Beispiel müssen sie dafür sorgen, dass der Traffic Ende-zu-Ende abgesichert ist. Ein weiteres Thema sind die widerstreitenden Prioritäten von Anwendungs- und Sicherheitsteams: Bei DevOps liegt der Fokus auf Geschwindigkeit, während NetOps die Aufgabe hat, Änderungen sorgfältig auf die Einhaltung bestehender Richtlinien zu testen, um die Assets der Organisation zu schützen.

Schnellere Bereitstellung in kürzeren Abständen funktioniert nur mit einer effizienten CI/CD Pipeline. Möglicherweise befindet sich das API-Gateway in dieser Pipeline. Wie aber lässt sich ein API aktualisieren und dabei dafür sorgen, dass das API-Gateway Traffic verarbeitet oder die Authentifizierungs- und Zugangssteuerung für die Endgeräte übernimmt? Das Gateway muss wahrscheinlich über ein eigenes API konfiguriert werden. Idealerweise sollten diese API-Aufrufe über ein gesondertes zentrales System erfolgen, um das korrekte Update des Gateways zu gewährleisten.

Glücklicherweise steht mittlerweile die Technologie z...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang