‘Belangstelling voor API’s neemt snel toe’
“Het zijn met name internet-startups die het gebruik van ‘application programming interfaces’ (API) populair hebben gemaakt”, vertelde Dimitri Sirota van CA Layer 7 tijdens een interview gedurende het Mobile World Congress 2014 in Barcelona. “Die trend zien we nu ook meer en meer overslaan naar IT-afdelingen die daarmee veel gemakkelijker data en functionaliteit beschikbaar kunnen stellen. Daarmee zien we ook meteen de behoefte aan het beheren en beveiligen van API’s sterk toenemen.”
- Dimitri Sirota van CA Layer 7
- Op de vraag aan Sirota of enterprise IT-afdelingen inmiddels een goed begrip hebben van het fenomeen ‘API’, blijft het eerst even stil. Dan zegt de vice president Business Unit Strategy van CA’s Layer 7-divisie: “Ik denk dat de kennis van IT-afdelingen op dit gebied inderdaad aan het toenemen is, maar we staan nog aan het begin van de ‘learning curve’ op dit gebied. Gelukkig onderkennen de bekende analisten inmiddels wel het belang van API’s. Zo heeft Forrester onlangs een Wave-rapport over API-management uitgebracht, terwijl ook andere onderzoeksbureaus nu heel actief naar deze markt kijken.”
- Voor CA Technologies is deze toegenomen belangstelling reden geweest om vorig jaar Layer 7 over te nemen. Sirota: “Dat snap ik ook wel. API’s spelen in de wereld van cloud en mobiele apps een steeds belangrijker rol en dat zijn heel duidelijk marktsegmenten waarin CA niet alleen al veel langer actief is maar waarin men bovendien stevig wil groeien.” CA en Layer 7 kenden voor de overname ook al enkele tientallen gemeenschappelijke klanten. “Wij integreerden bijvoorbeeld al geruime tijd onze management portal met de CA SiteMinder-oplossing voor single sign-on. “
- Een application programming interface ontwikkelen is volgens Sirota nog altijd eerder een ‘art’ dan een ‘science’. “Er is niet één ultieme manier om een API te ontwerpen. Dat zien we ook heel duidelijk bij onze Nederlandse klanten. Geen twee API's zijn identiek wat betreft structuur en aanpak. Het via een API tot stand brengen van een integratie met bijvoorbeeld Salesforce gebeurt op een heel andere manier dan bijvoorbeeld het enkel en alleen laten uitlezen van data uit een maatwerkapplicatie. Wij noemen dat ook wel: different styles of API’s.”
Vliegwieleffect
Startups hebben op een slimme manier gebruik gemaakt van API’s om daarmee een ecosysteem te bouwen. “Vrijwel iedere internet-startup heeft redelijk bovenaan zijn prioriteitenlijstje het ontwikkelen van een of meer API’s staan. Daarmee bieden zij andere ontwikkelaars de mogelijkheid om gebruik te maken van hun functionaliteit of van de data die zo'n startup verzamelt. Daarmee ontstaan dus tal van add-ons die gebouwd worden als extensie op het product van de startups. Dat verklaart natuurlijk ook waarom sommige startups zo snel kunnen groeien. Zij creëren via hun API’s een soort vliegwieleffect.”
Dat is volgens Sirota ook heel duidelijk opgevallen bij IT-afdelingen van enterprise-organisaties. “Ook bedrijven en overheidsorganisaties zien de waarde in van het delen van data of functionaliteit. Het gebruik van hun data groeit daarmee en wellicht kunnen zij er zelfs geld voor vragen. Daarmee neemt dus ook de behoefte aan beheer toe. Dat is een van de drie rollen die Layer 7 vanaf dag één heeft vervuld: enterprise API management. Daarnaast zijn wij in staat om IT-afdelingen te helpen om API’s te ontwikkelen, terwijl wij - heel belangrijk - API’s ook kunnen beveiligen.”
Het beheren van API’s bestaat uit een aantal taken, vertelt Sirota. “Dat is allereerst versiebeheer. Veel API's komen in verschillende varianten. Wat zijn de verschillen daartussen en wat is de meeste recente versie? Denk daarnaast aan policies die de gebruiksrechten regelen. Maar ook Quality of Service valt onder API management. Zeker als er sprake is van API’s waarvoor de afnemers betalen, is het immers van belang dat we de performance en de beschikbaarheid van een API kunnen garanderen. Soms zit het afrekenmechanisme als het ware ingebakken in de API. In andere gevallen loopt de financiële kant van het gebruik van een API via services als Chargify.”
Certificeren
Heel belangrijk voor het beheren en het gebruiken van API’s is de documentatie: wat doet de API nu precies? Logging en analytics is een laatste activiteit die in de visie van Sirota binnen de discipline ‘API management’ valt. Hij benadrukt het belang van een goede documentatie. “In portals zoals wij die leveren, is het uiteraard mogelijk om API’s te classificeren. Maar dat is een vrij algemene indeling waarbij de ontwikkelaar een API in een bepaalde groep kan plaatsen. Maar er bestaan vooralsnog geen fijnmazige classificatiesystemen die in één oogopslag duidelijk maken welke functionaliteit een API biedt.”
“Hetzelfde geldt overigens voor de kwaliteit van een API. Die kan sterk wisselen, maar dat zie je niet aan de buitenkant. Er bestaat ook nog niet zoiets als een certificatie van API’s. Net als er geen formele standaarden beschikbaar zijn waar we als ontwikkelaar ons aan kunnen houden om een bepaalde kwaliteit zichtbaar te maken. In de praktijk adviseren wij klanten dan ook om een API eerst heel nadrukkelijk uit te proberen voordat men er in een productieomgeving mee aan de slag gaat.”
Hoe kan een ontwikkelaar dan de kwaliteit van een API vaststellen? De Layer 7-portal die CA levert, biedt hiervoor een aantal mogelijkheden. “De API-wereld is sterk op forums gericht. De portal biedt dus de mogelijkheid om - naast de beschrijving van de API - aan de community te vragen welke ervaringen men heeft met een bepaalde API. Daarop komen steevast goede en inhoudelijke reacties. Dit zijn communities die echt goed werken, juist omdat er nog weinig geformaliseerd is in de vorm van normen en dergelijke. Men beseft dus heel goed dat men op elkaar is aangewezen. Wij zeggen ook wel eens dat goede API’s vaak als een soort crowd sourcing-project tot stand komen.”
Beveiliging
Security is ook bij API’s een belangrijk thema. Als er geen formele standaarden of certificeringen bestaan, hoe kunnen we dan het kaf van het koren scheiden? Sirota adviseert een zogeheten 'zero trust'-aanpak. “Ga er per definitie van uit dat een API die je wilt gebruiken een security-probleem heeft. Check de code dus heel goed en test het functioneren van de API heel goed uit. Probeer ook bewust acties uit te voeren waarvoor de API eigenlijk niet bedoeld is. Imiteer dus als het ware het gedrag van een cybercrimineel. Wat gebeurt er dan? Daarnaast is het een goed idee om zogenaamde API gateways toe te passen. Zo’n gateway kan tal van functies dienen. Denk aan access control of het limiteren van de hoeveelheid data die een API naar een client mag versturen. Een gateway kan ook gebruikt worden om bijvoorbeeld malicious messages te onderscheppen en dergelijke.”
Naar de ervaring van Sirota wordt nog wel eens vergeten dat een API ‘bidirectional traffic’ mogelijk maakt: er kan iets opgevraagd worden, maar er kan ook iets afgeleverd worden. Cybercriminelen kunnen dus van slecht ontwikkelde of beveiligde API’s misbruiken om bijvoorbeeld gevoelige bedrijfsgegevens te stelen.
Toch moeten we niet overdrijven, meent Sirota. Een aanval op een API is technisch op z’n minst uitdagend te noemen. Niet iets wat de eerste de beste script kiddie voor elkaar krijgt. We moeten ons dus niet laten afschrikken, want daarmee zouden we onszelf geen goede dienst bewijzen, meent hij. “API’s worden voor bedrijven steeds belangrijker. Innovatie is van cruciaal belang voor het succes van bedrijven. Die innovatie vindt steeds meer plaats door middel van mobile ofwel door het gebruik van apps. Banken adverteren tegenwoordig natuurlijk niet voor niets met hun apps. Die apps maken heel vaak gebruik van API’s om data te vergaren of functionaliteit aan de gebruiker aan te bieden. API's zijn dus een belangrijk hulpmiddel voor iedere organisatie die wil innoveren.”
Robbert Hoeffnagel