Come funzionano le API?

Un'API (Application Programming Interface) è costituita da una serie di protocolli che consentono a diversi programmi software di comunicare tra loro e di condividere dati.

Le API determinano il modo in cui un'applicazione può accedere ai dati o alle funzioni offerte da un altro programma software. Ad esempio, per includere informazioni meteo su un sito web, i programmatori possono utilizzare un'API per comunicare con un sito che fornisce rapporti meteo in tempo reale anziché creare un proprio programma per raccogliere e interpretare i dati meteo. Nell'odierno mondo digitale, le API sono coinvolte in quasi tutte le azioni intraprese e le transazioni online, tra cui effettuare un pagamento dai dispositivi mobili o navigare in un sito di e-commerce.

Potete pensare a un'API in qualche modo come a un menu da asporto che vi consente di ordinare diversi pasti in qualsiasi momento senza dover preparare da soli il cibo. Durante la creazione di un'applicazione o di un sito web, potete utilizzare le API per recuperare i dati senza dover creare e gestire il vostro database oppure potete offrire la funzionalità di autenticazione tramite impronta digitale senza dover creare un software di autenticazione personalizzato. Le API utilizzano un modello di comunicazione richiesta-risposta, in cui un client invia una richiesta o una chiamata API a un'API che elabora la richiesta e restituisce una risposta. Le API, in genere, utilizzano formati di dati standard come JSON (JavaScript Object Notation) o XML (Extensible Markup Language) per scambiare dati.

Le API consentono ai team addetti allo sviluppo di software di integrare le applicazioni create in diversi linguaggi di programmazione e di rendere facilmente disponibili dati e funzioni tra le applicazioni. Ad esempio, un'applicazione rideshare potrebbe utilizzare un'API di mappe per incorporare funzioni di mappatura da un'altra applicazione che consentono agli utenti di visualizzare la posizione del conducente in arrivo. Le API sono importanti per gestire più account di social media da un unico dashboard o per connettere dispositivi IoT (Internet of Things) come smart watch, assistenti digitali e apparecchi di domotica. Gli agenti di borsa si affidano alle applicazioni che utilizzano le API per accedere alle informazioni in tempo reale sui mercati finanziari e sui prezzi azionari, mentre le app per smartphone utilizzano le API per acquisire foto e video dalla fotocamera integrata. Le API possono anche consentire alle organizzazioni di sfruttare le soluzioni basate sul cloud per un firewall DNS o un proxy DNS .

Esistono molti tipi di API:

• Le API web vengono utilizzate per la creazione di applicazioni web e mobili e sono accessibili sul web tramite protocolli standard come HTTP.
• Le API delle librerie consentono ai programmatori di accedere alle librerie di codice che possono fornire funzionalità specifiche durante la creazione di nuove applicazioni.
• Le API del sistema operativo consentono al software di interagire con un sistema operativo sottostante.
• Le API aperte, o API pubbliche, vengono create da sviluppatori di terze parti e consentono a chiunque di accedere e utilizzare un sito web o un'app.
• Le API dei partner consentono la comunicazione tra i sistemi all'interno delle aziende e i partner aziendali che hanno una relazione distinta.
• Le API private o interne consentono agli utenti all'interno di un'azienda di spostare i dati tra i team o di connettere vari sistemi e app interni.
• Le API composite combinano diverse API provenienti da più server o origini per creare una connessione unificata a un singolo sistema.
• Le API dei servizi web sono interfacce tra browser web e server web.
• Le API cloud consentono alle applicazioni cloud di comunicare tra loro.
• Le API remote consentono alle applicazioni in esecuzione su diversi computer di interagire comunicando in remoto.

Le API possono essere create con diversi protocolli e stili di architettura.

• Le API REST, o API basate sull'architettura Representational State Transfer, possono scalare facilmente e trasferire i dati in modo sicuro gestendo le richieste tramite HTTP e basandosi sull'assenza di stato delle API, in cui nessun contenuto client viene memorizzato sui server tra una richiesta e l'altra.
• Il protocollo SOAP (Simple Object Access Protocol) semplifica la condivisione dei dati per le app in ambienti diversi o per le app scritte in diverse lingue. Le API SOAP determinano il modo in cui i dati possono essere trasmessi sulle reti, il modo in cui è possibile inviare i messaggi e quali messaggi devono includere.
• Le API RPC utilizzano la chiamata di procedura remota per eseguire il codice sulle reti remote.
• GraphQL è un linguaggio di query open-source che riduce al minimo il numero di round trip tra client e server, il che può risultare utile per le applicazioni che vengono eseguite su connessioni lente o inaffidabili. Le API GraphQL consentono ai client di ottenere i dati di cui hanno bisogno coinvolgendo un singolo endpoint API, anziché concatenare più richieste insieme.
• I webhook sono coinvolti nell'implementazione di architetture basate sugli eventi, in cui le richieste vengono inviate automaticamente come risposta ai trigger basati sugli eventi.

Per molte aziende, le API sono risorse business-critical che aiutano a digitalizzare i processi, consentire l'automazione, accelerare i workflow, connettere persone e applicazioni e innovare i prodotti e i servizi offerti. Le API possono aiutare a fornire eccellenti customer experience e a migliorare l'agilità operativa.

Un gateway API  è un'applicazione che riceve le richieste, le elabora, le distribuisce al server appropriato e restituisce i dati all'utente o all'applicazione che lo ha richiesto. I gateway API forniscono un punto centralizzato per la gestione, la protezione e l'ottimizzazione delle chiamate API, sia che si tratti di richieste che di risposte.

Le API sono allettanti per i criminali perché spesso contengono le chiavi per ottenere informazioni preziose. Se non adeguatamente protette, le API possono potenzialmente rendere visibile una grande quantità di dati sensibili. Gli hacker spesso cercano di prendere di mira le API create e implementate senza adeguate misure di sicurezza, nonché le API legacy che non vengono aggiornate regolarmente. I criminali possono utilizzare le API per ottenere l'accesso ai dati sensibili, interrompere i servizi o dirottare i sistemi.

Man mano che le tecnologie digitali come il cloud computing e i microservizi continuano ad espandersi, la rapida crescita delle applicazioni ha portato alla proliferazione delle API, in cui il numero di API sta aumentando in modo esponenziale, mentre le incongruenze negli standard di progettazione e documentazione delle API rendono più difficile la gestione delle API. La proliferazione delle API rende più difficile per i team addetti alla sicurezza implementare e gestire correttamente le policy di sicurezza, con un conseguente aumento dei rischi per l'organizzazione.

L'individuazione delle API è il processo di identificazione e catalogazione di tutte le API all'interno dell'ambiente digitale di un'organizzazione, insieme agli endpoint, alle funzioni e alle strutture di dati associati. L'individuazione delle API è essenziale per evitare la ridondanza, identificare i rischi per la sicurezza, documentare le API e garantire l'integrazione e l'interoperabilità.

Le pratiche di sicurezza delle API includono l'individuazione e il monitoraggio di tutte le API all'interno di un ecosistema digitale, l'identificazione delle vulnerabilità presenti all'interno di ciascuna API, l'utilizzo delle soluzioni di sicurezza esistenti e la definizione di una serie completa di policy di sicurezza che regolano e proteggono tutte le API. Le soluzioni per la protezione delle API possono includere test delle API, WAF (Web Application Firewall), funzioni di crittografia, architettura Zero Trust, analisi comportamentale, soluzioni per la sicurezza dei gateway API, sicurezza OpenAPI e ricerca delle minacce gestita.