隨著組織將內部部署資料與應用程式功能開放給合作夥伴組織、Web、行動App、智慧型裝置與雲端,傳統企業的疆界正在日漸模糊。API(應用程式設計介面)構成這種新開放式企業的基礎,使企業得以在組織邊界之外重複使用現有的資訊資產。儘管如此,透過API開放內部部署系統也引發一連串新的安全性與管理挑戰。
這種情況並不令人感到意外。「API管理」一詞,意指一組近年來新興的程序與技術,其目的在於協助企業因應這些挑戰。API管理解決方案的目標,在於讓即便是最在意安全性的組織,也能在不影響資料安全性或後端系統效能的情況下,將資訊資產開放給合作夥伴組織、協力廠商開發人員、行動App及雲端服務。對於建置運用企業API之應用程式的開發人員,功能健全的API管理解決方案另提供管理這些開發人員的功能。
以有利於API的格式開放企業資料與功能,將複雜的內部部署應用程式服務轉變成有利於開發人員的RESTful API,最有效的API管理解決方案應包括用來將舊有企業服務以RESTful API形式呈現的功能。一般說來,該功能涉及使用SOA或API閘道,將SOAP型服務的資料自動轉換成RESTful API。若要實現真正的效益,閘道應該要能有效率地從混雜多個現有應用程式服務的內容當中撰寫RESTful API。
開放企業資訊資產提供新應用程式使用,會使這些資產曝露在Web中充斥的安全性威脅(如病毒、DoS攻擊)之下。此外,API衍生出一連串全新而獨特的安全性挑戰,而這些挑戰是企業在Web中未曾應付過的難題。也許API管理最基本的功能是打造安全性階層,確保駭客無法存取、濫用或攻擊開放的系統。
任何想要徹底保護API抵禦攻擊的企業,都必須提供開發人員一個架構,用來控制使用者如何透過這些API存取企業資產。該架構應利用主要的身分識別與存取管理(IAM)標準(如OAuth)來平衡後端安全性與使用者經驗。若要取得最佳平衡效果,該架構應該要能夠使用現有的IAM基礎結構,並允許使用者透過企業單一登入或社群登入來取得存取權限。
最佳化系統效能及管理API生命週期也將是關鍵。API流量處理效率必須夠高,以確保用API建置的應用程式能夠正常運作,且後端系統的效能不受影響。企業必須以輕量型的格式交付來自後端系統的資料、針對使用模式最佳化及適當篩選。為顧及應用程式的長期生存能力,企業還必須謹慎管理從開發到測試、生產等API生命週期。
<本文作者:張淞騏,CA Technologies香港及台灣區業務總監>