Embed Size (px)
Citation preview
Die 5 Säulen des API Management
Einführung: Managen des neuen, offenen Unternehmens
Die Chancen der API-orientierten WirtschaftIn dem Maße, in dem Unternehmen ihre On-Premise-Daten und -Anwendungsfunktionen für Partnerunternehmen, das Internet, mobile Anwendungen, intelligente Geräte und die Cloud zugänglich machen, verschwimmen branchenübergreifend die Grenzen des traditionellen Unternehmens. Die Grundlage dieses neuen, offenen Unternehmens sind APIs (Anwendungsprogrammierschnittstellen), denn damit können Unternehmen die vorhandenen Informationen unternehmensübergreifend für mehrere Zwecke auf einmal nutzen.
Die Probleme der sicheren, überschaubaren API-Bereitstellung lösenMithilfe von APIs lassen sich IT-Systeme unkompliziert einer neuen Verwendung zuordnen, bestehende Angebote um Mehrwert erweitern und neue Umsatzquellen erschließen. Es dürfte jedoch wenig überraschen, dass es auch eine Reihe neuer Probleme bei Security und Management mit sich bringt, wenn On-Premise-Systeme mit APIs zugänglich gemacht werden. Der Begriff „API Management“ bezeichnet eine Reihe von Prozessen und Technologien, die in den letzten Jahren entwickelt wurden, um Unternehmen bei der Lösung dieser Probleme zu unterstützen.
Lösungen für das API Management zielen darauf ab, dass auch Unternehmen mit höchsten Security-Ansprüchen Partnerunternehmen, Drittanbietern im Entwicklungsbereich, mobilen Anwendungen und Cloud-Services ihre Informationen unkompliziert zugänglich machen können, ohne dass dadurch der Datenschutz oder die Performance der Back End-Systeme geschmälert werden. Komplettlösungen für das API Management umfassen auch Funktionen für das Management der Entwickler von Anwendungen, die auf Unternehmens-APIs basieren.
02
Überblick: Die 5 Säulen des API Management
Unternehmensdaten und -funktionen in API-geeigneten Formaten verfügbar machenKomplexe On-Premise-Anwendungsservices in entwicklerfreundliche RESTful-APIs umwandeln
Über APIs verfügbar gemachte Informationen vor Missbrauch schützenUnternehmenssysteme vor Message-Level-Angriffen und Hijacking schützen
Sicheren und nahtlosen Zugriff für gültige Identitäten zulassenFunktionen für strenge Access Control, Identity Federation und Anmeldung über soziale Medien bereitstellen
Systemperformance optimieren und API-Lebenszyklus verwaltenDie Verfügbarkeit von Back End-Systemen für APIs, Anwendungen und End User aufrechterhalten
Entwickler einbinden, onboarden, schulen und managenEntwicklern die Ressourcen bereitstellen, die sie zur Entwicklung von Anwendungen mit echtem Nutzen benötigen
03
Unternehmensdaten und -funktionen in API-geeigneten Formaten verfügbar machenKomplexe On-Premise-Anwendungsservices in entwicklerfreundliche RESTful-APIs umwandeln
WAS WARUM WIE
Unternehmensdaten und -anwendungen bilden meist ein komplexes Konglomerat aus Standards, Protokollen, Programmiersprachen und Dateiformaten.
Die erste Stufe des API Management besteht darin, diese heterogenen Informationen in einem Format bereitzustellen, das für Entwickler les- und nutzbar ist.
Üblicherweise impliziert dies, Anwendungsprogrammierschnittstellen mit REST-Protokoll bereitzustellen (RESTful-APIs).
On-Premise-Systeme hängen üblicherweise von Anwendungsservices in proprietären Formaten ab, die zu umständlich sind, um effizient über das Internet oder mobile Anwendungen zu funktionieren.
Anwendungsservices für die verbreitete SOA (Service Oriented Architecture) verwenden meist das SOAP-Protokoll, während Internet- und Mobilentwickler mit REST arbeiten.
Werden APIs nicht in einem Format bereitgestellt, das interne Entwickler und Drittanbieter direkt verwenden können, erschwert dies erheblich die Entwicklung wirklich nutzbringender neuer Anwendungen.
Effektive Lösungen für das API Management umfassen Funktionen für die Bereitstellung von Legacy-Unternehmensservices als RESTful-APIs.
Dafür wird meist ein SOA- oder API-Gateway verwendet, das die Daten der SOAP-basierten Dienste automatisch in RESTful-APIs umwandelt.
Um wirklich effektiv zu sein, muss das Gateway die effiziente Erstellung von RESTful-APIs aus Mash-ups mehrerer bestehender Anwendungsservices ermöglichen.
04
Über APIs verfügbar gemachte Informationen vor Missbrauch schützenUnternehmenssysteme vor Message-Level-Angriffen und Hijacking schützen
WAS WARUM WIE
Öffnen Unternehmen ihre Informationen für die Verwendung in neuen Anwendungen, setzen sie ihre Assets vielen allgemeinen Security-Bedrohungen im Internet aus (z. B. Viren, DoS-Angriffe).
APIs bringen außerdem eine Reihe besonderer neuer Security-Bedrohungen mit sich, die die bisherigen Probleme mit dem Internet übersteigen.
Die wichtigste Funktion beim API Management ist die Erstellung einer Security-Ebene, die verhindert, dass Hacker auf die verfügbar gemachten Systeme zugreifen und diese missbrauchen oder angreifen können.
APIs sind „Fenster“ zu Anwendungen und Daten, die Hacker potenziell Einblick in das Innenleben von Unternehmenssystemen und Zugang dazu verschaffen können.
Damit erhalten Hacker die Möglichkeit, vertrauliche Daten zu entwenden, öffentliche Schnittstellen zu unlauteren Zwecken zu hijacken oder geschäftskritische Systeme außer Betrieb zu setzen.
Konventionelle Online-Security-Lösungen für das Internet beugen nicht allen potenziellen Gefahren vor, die durch die API-Bereitstellung entstehen. Daher müssen für APIs eigene Security-Verfahren eingeführt werden.
Die wichtigste Aufgabe des erwähnten API-Gateways ist die Prüfung und Filterung des gesamten API-Datenverkehrs, damit bestehende und neue Bedrohungen erkannt und unschädlich gemacht werden.
Ein wirklich effektives Gateway ist für besondere Message-Level-API-Bedrohungen wie SQL Injection, Denial-of-Service-Angriffe und Viren konzipiert und zertifiziert.
Die Security-Funktionen des Gateways und die Gefahrenprofile müssen sich unkompliziert aktualisieren lassen, damit neue Gefahrenarten sofort bei Auftreten bekämpft werden können.
05
Weitere Informationen: White Paper: Schutz Ihrer APIs vor Angriffen und Übernahmen.
Sicheren und nahtlosen Zugriff für gültige Identitäten zulassenFunktionen für strenge Access Control, Identity Federation und Anmeldung über soziale Medien bereitstellen
WAS WARUM WIE
Unternehmen, die ihre APIs umfassend vor Angriffen schützen möchten, müssen Entwicklern ein Framework an die Hand geben, über das sich der anwenderseitige Zugriff auf Unternehmensassets über diese APIs steuern lässt.
Dieses Framework muss wesentliche Identity and Access Management-Standards (IAM) wie OAuth nutzen, um Back End-Security und End User Experience miteinander in Einklang zu bringen.
Für eine optimale Abstimmung muss das Framework die bestehende IAM-Infrastruktur nutzen können und End Usern den Zugriff über unternehmensseitiges Single Sign-On (SSO) oder die Anmeldung über soziale Medien erlauben.
Der Grundpfeiler der API Security heißt Access Control, und der Schlüssel liegt darin, unbefugte Anwender daran zu hindern, auf Unternehmensassets auf Ebenen zuzugreifen, für die sie keine Berechtigung besitzen.
OAuth eignet sich dafür besonders gut, da es Herausgebern erlaubt, entsprechende Sicherheitsebenen zu implementieren und für eine Identity Federation aus bestehenden IAM-Systemen und Accounts in sozialen Medien zu sorgen.
Wird die bestehende IAM-Infrastruktur genutzt, lassen sich außerdem Kosten sparen, die Einrichtungszeit verkürzen und die Verwaltbarkeit langfristig maximieren, da die Entstehung von Identity Silos verhindert wird.
Ein API-Gateway muss sofort einsatzfähige Funktionen für die Erstellung einer API-bezogenen Access Control-Infrastruktur anhand wichtiger Standards und der vorhandenen Ressourcen umfassen.
Das Gateway muss sich nahtlos in führende IAM-Systeme wie CA Single Sign-On (CA SSO), Oracle Access Manager, Microsoft Active Directory® und IBM Tivoli® integrieren lassen.
Außerdem muss es konfigurierbare Vorlagen für typische Anwendungsfälle bieten, anhand derer sich Access Control, Single Sign-On undAnmeldung über soziale Medien auf Basis von OAuth und anderen wichtigen Standards implementieren lassen.
06
Weitere Informationen: eBook: OAuth – die fünf wichtigsten Aspekte für API Access Control.
Systemperformance optimieren und API-Lebenszyklus verwaltenDie Verfügbarkeit von Back End-Systemen für APIs, Anwendungen und End User aufrechterhalten
WAS WARUM WIE
Der API-Datenverkehr muss auf effiziente Weise verwaltet werden, damit API-basierte Anwendungen einwandfrei funktionieren und die Performance der Back End-Systeme nicht beeinträchtigt wird.
Daten aus den Back End-Systemen müssen in ressourcenschonenden Formaten bereitgestellt, für Nutzungsmuster optimiert und richtig gefiltert werden.
Damit Anwendungen auf lange Sicht funktionieren, muss außerdem der API-Lebenszyklus in allen Phasen – Entwicklung, Testing und Produktion – präzise gemanagt werden.
Die Einführung von Internet- und Mobilanwendungen, die Back End-Systeme nutzen, kann zu einem plötzlich stark wachsenden IT-Datenverkehr und so zu Abstürzen und Nichtverfügbarkeit führen.
Der API-Datenverkehrsfluss muss daher optimiert werden, um eine gleichbleibend überzeugende User Experience für Entwickler und Anwender API-abhängiger Anwendungen und interne Anwender gleichermaßen zu erreichen.
Bei der Verwaltung des API-Lebenszyklus muss unbedingt sichergestellt werden, dass bestehende Anwendungen bei Updates von APIs, Clients und Betriebssystemen nicht ausfallen.
Ein API-Gateway, das zur Erstellung und Sicherung von APIs verwendet wird, befindet sich am richtigen Ort, um den Fluss des API-Datenverkehrs zu kontrollieren und den API-Lebenszyklus zu managen und dadurch Verfügbarkeit und Performance zu gewährleisten.
Zu Performance Management-Zwecken sollte das Gateway über Funktionen für einfach skalierendes Routing, Service Mediation, Message Caching, Verbindungsaggregation und Komprimierung des Verkehrs verfügen.
Zu Life Cycle Management-Zwecken sollte es über Funktionen für Abhängigkeitsauflösung und Remapping mit automatischer Versionssteuerung einschließlich Rollback auf frühere Versionen verfügen.
07
Entwickler einbinden, onboarden, schulen und managenEntwicklern die Ressourcen bereitstellen, die sie zur Entwicklung von Anwendungen mit echtem Nutzen benötigen
WAS WARUM WIE
Der eigentliche Nutzen von Unternehmens-APIs wird zu einem großen Teil von den Entwicklern erbracht, die anhand von APIs Internet- und Mobilanwendungen und neue Unternehmenssysteme erstellen.
Entwickler müssen unbedingt mit den Tools und Mitteln ausgestattet werden, die sie benötigen, um anhand der Unternehmens-APIs Anwendungen ausfindig zu machen, zu verstehen, zu testen und zu entwickeln.
Als Entwickler kommen interne Mitarbeiter, Partner, Auftragnehmer und unabhängige Nischenentwickler infrage. Jede Gruppe benötigt eine besondere, auf ihre Erfordernisse zugeschnittene Ressourcenkombination.
Entwickler sind der Kern jeder API-Bereitstellungsstrategie. API-Herausgeber brauchen Entwickler, um Anwendungen zu erstellen, die Mitarbeiter, Partner und Kunden auch tatsächlich nutzbringend verwenden können.
Damit Entwickler wirklich nützliche Anwendungen erstellen, müssen API-Herausgeber talentierte Entwickler anwerben und ihnen die Tools an die Hand geben können, die für die Nutzung der APIs vonnöten sind.
Je stärker die vom API-Herausgeber bereitgestellten Tools die Entwickler einbinden und mit ihnen interagieren, um sie zu befähigen und zu schulen, desto nützlicher sind die Anwendungen, die diese Entwickler erstellen.
Die effektivste Art, interne wie externe Entwickler einzubinden und zu schulen, ist ein interaktives, markenbasiertes Onlineportal.
Entwickler können sich über dieses Portal bequem für APIs registrieren und so auf interaktive Dokumentationen, Musteranwendungen, Beispielcodes, Testing Tools und Diskussionsforen zugreifen.
Effektive Lösungen für das API Management umfassen Funktionen, mit denen sich unkompliziert ein bereits in das API-Gateway integriertes Entwicklerportal mit vollem Funktionsumfang einrichten lässt.
08
Internet-, Mobil- und Cloud-Technologien werden in der Geschäftswelt immer wichtiger. Der Schlüssel zu solchen intelligenten Unternehmen ist die API. Um den Nutzen von APIs voll ausschöpfen zu können und die Tücken der Verfügbarmachung von Unternehmenssystemen zu vermeiden, müssen Technologien bereitgestellt werden, die zentrale Prozesse des API Management für Servicezusammenstellung, Security, Performanceoptimierung, Lebenszyklusmanagement und die Einbindung von Entwicklern ermöglichen und vereinfachen.
Die CA API Management Suite für das API Management stellt alle Komponenten bereit, die für ein effektives API Management auf Unternehmensebene benötigt werden, darunter eine Reihe von API-Gateways, die sämtliche zentralen Prozesse für API Security und -Management vereinfachen. Des Weiteren umfasst die CA API Management Suite ein API-Portal für die Einbindung und das Management von Entwicklern und ein OAuth-Toolkit, das das sichere, standardbasierte Zugriffsmanagement für Unternehmens-APIs ermöglicht.
Die CA API Management Suite bietet außerdem Folgendes:
• Möglichkeit zur On-Premise-Bereitstellung sowie zur Cloud-basierten und hybriden Bereitstellung
• hohe Security für Daten und Anwendungen
• API-Nutzungsanalyse
• umfassendes Operations Management für verteilte Rechenzentren und Clouds
• Management von Anwendungsanpassungen und -schnittstellen über fortschrittliche SOA-Konnektivität
Fazit: Bereitstellung einer Komplettlösung für das API Management
09
Copyright © 2015 CA. Alle Rechte vorbehalten. Microsoft Active Directory® ist ein eingetragenes Markenzeichen der Microsoft Corporation in den USA und/oder in anderen Ländern. IBM Tivoli® ist eine Marke der International Business Machines Corporation in den USA und/oder anderen Ländern. Alle übrigen erwähnten Marken, Handelsnamen, Dienstleistungsmarken und Logos sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokuments entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. Die hier dargestellten Informationen und Ergebnisse basieren auf den Erfahrungen des jeweiligen Anwenders mit den erwähnten Softwareprodukten in einer Reihe von Umgebungen, von denen einige möglicherweise Produktionsumgebungen sind und andere nicht. Die bisherige Performance der Softwareprodukte in diesen Umgebungen ist nicht unbedingt maßgeblich für die künftige Performance solcher Softwareprodukte in identischen, ähnlichen oder anderen Umgebungen.
CS200-132272_0615
CA Technologies (NASDAQ: CA) entwickelt Software, die Unternehmen bei der Umstellung auf die Application Economy unterstützt. Software steht in allen Branchen und in allen Unternehmen im Mittelpunkt. Ob Planung, Entwicklung, Management oder Security – CA Technologies arbeitet weltweit mit Unternehmen zusammen, um die Art, wie wir leben, Transaktionen abwickeln und kommunizieren, in mobilen, privaten und öffentlichen Cloud-Umgebungen oder in verteilten Systemen und Mainframe-Umgebungen neu zu gestalten. Weitere Informationen finden Sie unter ca.com/de.
Über CA API ManagementDie API-Wirtschaft wächst exponentiell, Mobile Devices finden immer stärkere Verbreitung am Arbeitsplatz, und große Unternehmen lagern ihre IT-Infrastruktur in die Cloud aus. Damit besteht ein Bedarf an Technologien, die externe Entwickler, mobile Anwendungen und Cloud-Services sicher einbinden. CA Technologies steht an der Spitze dieses hoch dynamischen Marktes.
Die branchenführenden Gatewayprodukte von CA Technologies erleichtern Unternehmen die gemeinsame Nutzung von Daten mit Kunden, mobilen Anwendungen und Cloud-Services. Unsere Produkte sind als Netzwerk-Hardwaregeräte, virtuelle Geräte und als Software verfügbar und erleichtern es großen Unternehmen, sich für das Internet, mobile Netzwerke und die Cloud zu öffnen, ohne Security oder Performance zu gefährden.
Im September 2014 wurde CA API Gateway vom führenden Analysteninstitut Forrester Research im Bericht „The Forrester Wave: API Management Platforms, Q3 2014“ als Spitzenprodukt für das API Management ausgezeichnet.1 CA API Management ist eine Kernkomponente der Lösungen, die CA Technologies für Unternehmen bereitstellt, die komplexe IT-Umgebungen zur Unterstützung agiler Geschäftsprozesse schützen und verwalten müssen.
Weitere Informationen finden Sie unter ca.com/de/api.
1 Forrester Research, Inc.: „The Forrester Wave: API Management Platforms, Q3 2014“, 29. September 2014
