Massimizzare sicurezza e governance delle API in un ecosistema complesso

Un nuovo modello di API Management basato su DevOps e API Gateway per migliorare la gestione delle API tra i diversi team e rispondere alle recenti normative UE di cybersicurezza.

LA STORIA IN BREVE

Dalla sicurezza alla governance delle API

Nel 2021, la Compagnia ha evidenziato l’esigenza e l’importanza di rafforzare la sicurezza delle proprie API, sia per la centralità per i propri servizi digitali che per le nuove indicazioni previste dalle recenti direttive UE in materia di cybersicurezza (Dora e NIS2).

Parallelamente, con la crescita delle API è diventato essenziale garantire coerenza tra i diversi team di sviluppo e controllo sui processi. Per questo, il progetto ha esteso le attività legate alle iniziali esigenze di API security a interventi di Governance, creando protocolli solidi e standardizzati, maggiore visibilità sulle attività e processi condivisi.

Il risultato? Un approccio che garantisce qualità e sicurezza costanti in tutto il ciclo di vita delle API.

IL CLIENTE

Importante compagnia del settore assicurativo

La compagnia assicurativa, parte di un importante Gruppo finance, si occupa di offrire soluzioni assicurative e previdenziali per imprese e famiglie, rispondendo alle esigenze di tutela e protezione di ambiti come salute, beni, casa e risparmi.

A seguito di alcuni progetti realizzati insieme a Intesys per l’adozione di un API Gateway e la successiva gestione del crescente numero di API esposte, è emersa una nuova esigenza di sicurezza, correlata al numero di servizi digitali e alle nuove normative in tema di cybersicurezza.

L’OBIETTIVO

Nuovo approccio sicuro e moderno alla governance delle API

Il Cliente ha inizialmente avviato il progetto con un forte focus sull’API Security, dettato dall’esposizione dei numerosi servizi digitali business critical e alle nuove normative in tema di cybersicurezza.

Emergendo la consapevolezza dell’ampiezza del tema API e delle sue implicazioni, il progetto si è progressivamente ampliato fino a coinvolgere ambiti di management e governance delle API e dei processi correlati, per trattare il tema a 360°: è nato così un nuovo approccio, solido, moderno e standardizzato, per lo sviluppo, la pubblicazione e la fruizione delle API, parte di un percorso di evoluzione delle politiche API della compagnia.

LE SFIDE

Evolvere i processi e gli standard di gestione API per migliorare sicurezza, compliance e controllo

Negli ultimi anni, l’azienda ha registrato un’impennata nell’utilizzo e nello sviluppo delle API in seguito per via della crescente digitalizzazione dei suoi servizi e alla progressiva adozione di modelli applicativi orientati alle API Architecture. Questa evoluzione ha reso necessario affrontare in modo solido, proattivo e strutturato tematiche legate alla API security (tra cui la compliance con le direttive UE) e, in senso più ampio, alla loro Governance.

Con l’aumento delle API, infatti, diventava sempre più difficile mantenere coerenza e controllo tra diversi team di sviluppo, con potenziale creazione di silos, diverse metodologie e potenziali vulnerabilità. Per rispondere a queste sfide, nel 2021 i responsabili dello sviluppo applicativo hanno deciso di introdurre una figura dedicata a sviluppare e promuovere processi condivisi tra i team, con l’obiettivo iniziale di massimizzare la sicurezza e la gestione dell’ecosistema di API.
Questo processo è poi evoluto nella strutturazione di una roadmap di cambiamenti e migliorie di più lunga prospettiva e in un modello organizzativo più efficiente, dando vita a una API strategy appoggiandosi in modo più consistente ad una soluzione di API Management Platform (Kong) su server del cliente, processo che è stato guidato e supportato dagli esperti di Intesys.

LA SOLUZIONE

Nuovi strumenti di API Governance, pratiche DevOps e strumenti di observability per un sistema che evolve nel tempo

1. API Gateway come leva di trasformazione

Per rispondere alle esigenze dell’azienda, Intesys ha inizialmente introdotto un API Gateway (tecnologia Kong) come dispositivo di frontiera, con l’obiettivo iniziale di applicare policy di sicurezza e gestire in modo controllato il traffico da e verso le API.
Lo strumento è diventato presto qualcosa di più di un presidio tecnico, assumendo un ruolo strategico nell’evoluzione dei processi di gestione delle API. L’introduzione di un Gateway centralizzato ha infatti portato allo sviluppo e all’implementazione di policy, processi e test di validazione comuni per tutto l’ecosistema di API aziendale. Come diretta conseguenza si sono ottenuti ordine e coerenza, aumentando la qualità dell’output, i livelli di controllo e la sicurezza.

2. Pratiche DevOps a supporto del cambiamento

L’introduzione dell’API Gateway ha inoltre favorito un’evoluzione organizzativa: sono stati coinvolti nuovi profili DevOps incaricati di affiancare i team di sviluppo e di presidiare i processi di pubblicazione delle API.

Queste figure hanno svolto un doppio ruolo: da un lato, tecnico – curando aspetti centrali come la sicurezza, l’autenticazione e la gestione delle configurazioni – dall’altro di processo – promuovendo pratiche uniformi, condivise, automatizzate e federate tra i diversi team.

3. Un nuovo Authorization Server per una sicurezza moderna

Per potenziare ulteriormente la sicurezza, Intesys ha affiancato al Gateway un Authorization Server esterno, erogato sotto forma di servizio gestito di Intesys Networking (QUIIAM). Il servizio ha introdotto protocolli moderni di autenticazione e autorizzazione superando i modelli preesistenti, spesso eterogenei.

L’introduzione del servizio gestito ha previsto un consistente lavoro di analisi e consulenza erogato dal team Intesys per adattare in modo custom lo strumento ai processi e alle esigenze del cliente. Il punto forte dell’attività è stato rappresentato dal lavoro di squadra e dal connubio di competenze dei team Intesys e Intesys Networking e dalla capacità tecnico-architetturale di inserire il servizio nel contesto applicativo-architetturale del cliente.

4. Infrastructure as Code e test automatici per una qualità costante

A completamento del progetto, Intesys ha adottato un approccio Infrastructure as a Code (IaC) per la configurazione del Gateway e ha introdotto pipeline di test automatizzate. Questo ha permesso di descrivere in modo dichiarativo le configurazioni, riducendo al minimo le attività manuali ed evitando errori. Ogni modifica viene oggi testata prima della messa in produzione, assicurando un controllo continuo sulla qualità e la sicurezza dell’intera infrastruttura API.

5. Sviluppo Codice Sicuro e Linee Guida di sviluppo per un approccio completo e che guarda a futuro

Lorem Ipsum

100% Information Technology - 100%

I RISULTATI

Gestione condivisa e standardizzata, qualità e sicurezza delle API

Coordinamento team e processi standardizzati

Velocità rilascio IaC

Maggior observability sui sistemi

Riduzione dei tempi di troubleshooting

Nuove procedure di sicurezza e sistemi più sicuri, in linea con i nuovi standard UE

KONG API MANAGEMENT PLATFORM

API management & Security, API gateway e testing e analisi delle API

Il progetto è stato costruito sulla API Management Platform di Kong, attraverso funzionalità come Kong Manager e Kong API gateway. Questi strumenti Enterprise open source, che si prestano perfettamente all’integrazione con i sistemi in essere e a esigenze di continuous integration e continuos development, hanno permesso di integrarsi con i team DevOps e sono serviti per il design delle API, la scrittura di test e l’automazione di rilasci.

Inoltre la tecnologia Kong è stata abilitante per introdurre il tema dell’Observability nell’ecosistema API e per attività di Application Performance Monitoring e di Troubleshooting.

Le soluzioni adottate

API management e API security
System Integration
Kong API management

Competenze e know-how

Architetture evolutive
API Gateway
DevOps e DevSecOps
API testing
API analytics
Application Performance Monitoring & Troubleshooting

Sei interessato a questo progetto
e vuoi saperne di più?