Le API in azienda: che cosa bisogna sapere per godere dei vantaggi senza incorrere in criticità

Per i dipartimenti IT sono diventate la base imprescindibile per utilizzare i prodotti dei vendor e sviluppare servizi: si tratta delle API (Application programming interfaces, interfacce di programmazione delle applicazioni). In tutte le imprese, di qualunque settore, le API rappresentano strumenti di innovazione, perché permettono, tramite la loro composizione, di creare soluzioni personalizzate o con funzionalità specifiche.

“Noi usiamo le API su vari prodotti impiegati nell’IT aziendale, tra cui – ma non solo – per l’integrazione con il cloud, la Content delivery network, le implementazioni edge e la sicurezza zero-trust”, afferma Andrea Pernici, Chief technology officer (CTO) di 3BMeteo, portale italiano di previsioni meteorologiche e società del gruppo Meteosolutions. “Grazie alle API, gestiamo tutta la procedura di aggiornamento dei contenuti, inclusa la possibilità di fare o invalidare il caching, nonché tutte le attività legate al digital marketing, come l’analisi del posizionamento sui motori di ricerca e la creazione automatica di report”.

API in azienda, spinta all’innovazione

Un’ulteriore attività in cui le API sono essenziali per 3BMeteo è quella di logging degli applicativi: tramite le interfacce di programmazione, vengono scaricati tutti i log delle attività per verificare la presenza di errori, monitorare le prestazioni sui motori di ricerca, rilevare eventuali accessi sospetti e condurre analisi e altri controlli di sicurezza.

Per 3BMeteo le API sono essenziali anche nel compito di moderazione automatica dei contenuti user-generated. “Gli utenti ci mandano molte foto, nell’ordine di diverse centinaia ogni giorno”, spiega Pernici, “e ci avvaliamo di servizi terzi che effettuano un riconoscimento automatico delle immagini grazie ad algoritmi di intelligenza artificiale. Quelle che non rispondono ai nostri criteri vengono messe dall’IA nella lista di moderazione”.

Arnaud Lauret, autore del libro The Design of Web APIs (Edizioni Manning), del blog The API Handyman, API Governance Lead di Postman e, di recente, relatore alla World Intellectual Property Organization (WIPO) sulla standardizzazione delle interfacce di programmazione, porta un esempio eloquente sulla capacità delle API di stimolare l’innovazione in azienda.

“Quando Steve Jobs presentò l’iPhone per la prima volta disse che, con quel telefono, si poteva avere una app per tutto. Le interfacce di programmazione sono un’innovazione analoga: c’è un’API per ogni software. Qualunque azienda può velocemente usare tecnologie nuove: basta effettuare una chiamata API”, afferma Lauret. La chiamata API è l’operazione attraverso la quale un’applicazione web interroga un microservizio, ovvero chiede qualcosa a un altro software.

I vantaggi dell’utilizzo delle API

Oggi, infatti, alle API si accede per lo più via web, quindi da qualsiasi dispositivo o piattaforma. E il primo vantaggio delle Web API è che permettono l’integrazione tra diverse applicazioni e sistemi, indica Luca Barbieri, CTO di Wopta Assicurazioni.

Un ulteriore beneficio è quello di consentire uno sviluppo più rapido ed efficiente delle applicazioni, perché l’IT può riutilizzare il codice ed evitare ripetizioni. “Le API sono un modo per condividere le risorse e ciò può ridurre i costi e migliorare la produttività”, osserva Barbieri. “Inoltre, possono essere personalizzate per soddisfare le esigenze specifiche di un’applicazione o di un’azienda: sono, cioè, una soluzione flessibile e adattabile”.

Le API aiutano anche ad evitare il vendor lock-in, secondo Pernici. “Una volta integrate le interfacce di terze parti nel proprio sistema IT, il CIO e il suo team hanno la possibilità di controllare i propri strumenti software, riducendo il rischio di legarsi a un solo vendor”, dichiara il CTO. “Con le API, infatti, possono essere inserite nelle procedure dell’IT funzionalità di più fornitori. È anche possibile passare da un fornitore all’altro solo modificando la parte della chiamata API, non servono delle integrazioni totali. L’indipendenza dal vendor significa poter scegliere il prodotto più adatto per il proprio obiettivo ed essere più rapidi quando si vuole andare verso un’alternativa migliore. Direi dieci volte più rapidi in media che se non ci fossero le API”, aggiunge Pernici.

Le complessità di cui tenere conto

Tutto perfetto, quindi, nel mondo IT grazie alle API? No. Ovvero: come tutte le tecnologie, le API vanno capite nel loro funzionamento. Lauret, che per venti anni ha lavorato nei dipartimenti IT dell’industria finanziaria, sottolinea: “Non basta decidere che da oggi si impiegano le API per usarle con successo”.

Sul tema del vendor lock-in, per esempio, Lauret ricorda l’importanza di predisporre un “decoupling layer”, o strato di disaccoppiamento, tra il proprio sistema e l’infrastruttura del fornitore. “In generale, la capacità di rendersi indipendenti dal vendor dipende dal servizio che si usa, dal design delle singole API e da come si integrano nel proprio sistema”, osserva l’esperti. “Un elemento a cui prestare grande attenzione è quello dei dati, perché, nelle chiamate API, l’IT manda dati verso il vendor e a, volte, riaverli indietro non è privo di costi”.

Per Barbieri di Wopta, le Web API possono rivelarsi complesse da implementare e mantenere, specialmente nelle aziende grandi. Anche la convergenza di API diventa complicata in alcuni casi in cui si utilizzano dati di più fornitori, o se i dati sono sparsi su diverse configurazioni di protocolli e servizi. “In un’ottica più ampia, spesso API non compatibili fra loro creano barriere all’interoperabilità, rendendo difficile l’integrazione di più sistemi, piattaforme e applicazioni”, afferma Barbieri.

Altro nodo critico può essere la disponibilità: se l’API provider non garantisce un contratto di servizio, il servizio potrebbe subire alterazioni o rimanere temporaneamente offline senza preavviso. Attenzione anche alla documentazione delle API: deve essere completa, dettagliata e aggiornata.

Fari puntati sulla cybersecurity

C’è poi il grande tema della sicurezza informatica. Le Web API sono dei veri punti pubblici di accesso a dati per lo più sensibili e possono essere vulnerabili agli attacchi informatici se non si implementano controlli adeguati.

“Se, come vendor, esponi le tue API, devi essere sicuro che chi accede abbia le necessarie autorizzazioni”, afferma Lauret. “Se invece sei un dipartimento IT che usa API di terze parti, devi assicurarti di sapere dove vengono inviati e custoditi i tuoi dati, con quali protezioni e in base a quali normative. L’attenzione deve essere massima se si parte da un sistema legacy che non è stato disegnato per usare le API e, quindi, nemmeno per rispondere ai potenziali attacchi che riguardano le interfacce programmatiche. È sempre consigliabile verificare le certificazioni del vendor e svolgere corsi di formazione interna: ci sono metodi standardizzati per rendere sicure le API”.

Secondo Barbieri di Wopta, alcune delle misure per proteggere le API dalle cyber-minacce includono:

• l’uso di autenticazione forte basata su token per controllare l’accesso alle risorse Api;
• l’implementazione di controlli di autorizzazione per l’accesso a risorse specifiche;
• l’uso di HTTPS (Secure HTTP) per crittografare la comunicazione tra il client e il server e l’uso di certificati SSL validi;
• l’implementazione di tecniche di gestione delle sessioni sicure per prevenire l’hijacking della sessione;
• meccanismi di protezione anti-DDoS per garantire la disponibilità delle API;
• il monitoraggio del traffico e delle attività anomale;
• l’aggiornamento costante del software per correggere eventuali vulnerabilità;
• svolgimento a intervalli regolari dei test VA/PT (Penetration test e Vulnerability assessment), su tutta l’infrastruttura.

Due elementi chiave da considerare: scalabilità e observability

Anche per Pernici di 3BMeteo, le maggiori criticità delle API sono legate alla sicurezza ed è essenziale adottare una gestione “granulare” della cybersecurity: “Ogni API deve avere i suoi permessi circoscritti e credenziali diverse da tutte le altre, con la parte di autenticazione che resta segreta e affidata a un token. Questo non solo minimizza i cyber-rischi, ma fa sì che, di fronte a un incidente di sicurezza, l’impatto resti isolato”, afferma Pernici.

La base della cybersicurezza è avere visibilità su tutte le applicazioni e le API usate, prosegue il CTO di 3BMeteo: “Per noi sono diventati essenziali gli strumenti di observability, in cui uniamo le soluzioni di fornitori esterni con pannelli di controllo che ci siamo costruiti in casa per un monitoraggio completo e in tempo reale”.

Non finisce qui. Il dipartimento IT che usa le API deve calcolare un altro fattore essenziale, quello delle prestazioni. Come evidenzia Lauret, le API aumentano le sollecitazioni sul sistema IT e il CIO deve essere consapevole del carico che ci sarà. Nei sistemi chiusi il numero di utenti è finito, ma se ci si apre a terze parti occorre prevedere le diverse esigenze di capacità e scalabilità che il sistema IT dovrà soddisfare.

“Anche nelle API bisogna guardare alla user experience, proprio come nelle app sullo smartphone. La loro progettazione deve puntare alla semplicità e all’esperienza d’uso”, conclude Lauret. Il consiglio dell’esperto? Usate e disegnate le vostre API come se doveste offrirle all’esterno e farne uno strumento di business.