API Gateway seguro: ¿qué es y cómo funciona?

¿Qué es un API Gateway seguro?

Las organizaciones digitales de éxito reconocen que sus API crecen en valor cuanto más conectadas se hallan al resto del ecosistema de aplicaciones, desarrolladores, partners y experiencias de cliente. Sin embargo, aprovechar este valor también puede comportar nuevas vulnerabilidades de seguridad. Cada vez que una organización habilita el acceso a sus API, es de vital importancia garantizar que dichas API estén adecuadamente protegidas y funcionen de manera óptima.

Los API Gateway son un componente común de las arquitecturas modernas y ayudan a las organizaciones a encaminar sus solicitudes de API, agregar sus respuestas de API y aplicar acuerdos de nivel de servicio mediante funciones como la limitación de velocidad. Pero un API Gateway también posee un papel importante como punto de acceso seguro que protege las API de una organización. Los API Gateway ofrecen un cifrado y un control de acceso que siguen el estándar del sector, otorgando a los desarrolladores de API una forma de gestionar el acceso de los usuarios y dirigirlos al lugar adecuado. Los gateways conducen a APIs y servicios de back‑end que define la empresa y los presenta en una capa regulable mediante una solución de gestión de APIs.

¿Cómo protege un API Gateway tus sistemas?

Los mejores API Gateway se han diseñado desde cero para proporcionar un sólido nivel de seguridad. Un API Gateway normalmente realiza las siguientes funciones:

  • Actúa como un punto proxy de control en línea para las API.
  • Verifica la identidad asociada a las solicitudes de una API mediante la validación de credenciales y tokens, así como otros métodos de autenticación.
  • Determina qué tráfico está autorizado a pasar por la API hasta los servicios de back‑end.
  • Mide el tráfico que fluye a través de las API mediante funciones de limitación de velocidad y throttling. 
  • Registra todas las transacciones y aplica políticas de tiempo de ejecución para garantizar su buena gestión.
  • Proporciona seguridad de última milla a los servicios de back‑end que hacen funcionar las API. 

La plataforma de gestión de API líder del sector de MuleSoft ofrece seguridad completa de nivel empresarial, incluido un componente de API Gateway de alto rendimiento.

Los gateways conducen a las API y los servicios de back‑end que define la empresa y los presenta en una capa regulable mediante Anypoint Platform. Las aplicaciones de consumidor solicitan los servicios que ofrece la empresa. Las API conducen a los puntos de conexión que expone el gateway para aplicar políticas de tiempo de ejecución y recopilar y supervisar datos analíticos. El API Gateway actúa como una capa de coordinación especializada para todas las API de back‑end que separa las cuestiones de coordinación de las de implementación. El gateway aprovecha las funciones de gobernanza de API Manager, de forma que se pueden aplicar throttling, seguridad y otras políticas a las API.

Diagrama de API Gateway seguro


Introducción a API Gateway de MuleSoft

El motor de tiempo de ejecución Mule incorpora un API Gateway. Gracias a él, los usuarios pueden aplicar una política de autenticación básica a la aplicación de Mule o enriquecer mensajes entrantes y salientes de una API sin necesidad de escribir código. 

API Gateway permite añadir una capa de coordinación especializada a todos los servicios y APIs de back‑end a fin de separar las cuestiones de coordinación de las de implementación. De esta manera, se pueden aprovechar las funciones de API Manager de throttling, seguridad, almacenamiento en caché y registro de solicitudes y respuestas de API, entre otras.

Conectores disponibles para API Gateway: 

  • HTTP/S
  • Jetty
  • Consumidor de servicios web
  • Archivo JDBC

Funciones de integración: 

  • Procesadores de mensajes
  • Gestión de transacciones
  • Tratamiento de errores
  • Mule Expression Language (MEL)
  • DataWeave (Transform Message)
  • DataMapper
  • DataWeave

Despliegue:

API Gateway puede desplegarse tanto en la nube como localmente. Decidir el entorno adecuado para cada uso depende de una serie de factores como la ubicación de los puntos de conexión de back‑end, la arquitectura de la empresa y la política de seguridad corporativa, entre otros. Los gateways se pueden desplegar como nodos únicos o en clústeres para dar cabida a usos que requieren altos niveles de disponibilidad y rendimiento.

Opciones de instalación:

  • Instalación in situ: instalar y gestionar el gateway tras la protección del firewall.
  • Instalación en la nube: usar API Gateway en la nube si no se desea instalar ni mantener ningún software de MuleSoft para el gateway de la organización. 


Las ventajas de un API Gateway flexible

Si bien los API Gateway son un componente estándar de la gestión de APIs, el API Gateway incluido en Anypoint Platform presenta una función que la distingue de otros: se puede desplegar tanto localmente como en la nube. Esta flexibilidad facilita un despliegue más rápido de los servicios, pues el gateway aprovecha las políticas de gobernanza que ya se definieron en el API Manager. Es decir, la seguridad y las políticas se pueden aplicar de la forma que se prefiera.

Para las empresas es cada vez más importante disponer de la flexibilidad necesaria para realizar despliegues tanto localmente como en la nube y personalizar la seguridad según sus necesidades. A medida que las organizaciones desarrollan una infraestructura híbrida, necesitan integrar diferentes servicios, aplicaciones y fuentes de datos. La disparidad de conjuntos de datos y herramientas puede dar lugar a silos de datos, tareas duplicadas y equipos de TI ineficientes. 

Disponer de una plataforma unificada para la integración y gestión de APIs permite administrar los usuarios, supervisar y analizar el tráfico, y proteger las API con políticas regladas, todo ello en un mismo lugar. La funcionalidad unificada de Anypoint Platform permite gestionar las API para cada conexión con un solo tiempo de ejecución que se puede implementar como un motor de integración y API Gateway.