在技術(shù)形態(tài)上�,API可以幫助應(yīng)用服務(wù)之間實(shí)現(xiàn)更好的相互通信,幫助企業(yè)聯(lián)結(jié)上下游關(guān)系�����,解鎖數(shù)字商業(yè)模型���。然而�����,隨著企業(yè)應(yīng)用微服務(wù)化的進(jìn)一步深入,IDC調(diào)查顯示����,針對API
安全問題,API管理方案復(fù)雜�,如何確保API 安全,以及生命周期管理是API部署中的三大挑戰(zhàn)���。本次���,我將給大家分析如何聯(lián)合F5與NGINX
Plus實(shí)現(xiàn)更加安全的API部署與管控�。
API gateway一般是作為系統(tǒng)邊界存在��,例如銀行業(yè)務(wù)系統(tǒng)中的前置機(jī)其實(shí)就是一種API
gateway���,它對系統(tǒng)進(jìn)行安全隔離����,對服務(wù)進(jìn)行抽象���,同時(shí)還要負(fù)責(zé)認(rèn)證�����、報(bào)文轉(zhuǎn)換�、訪問控制等非業(yè)務(wù)性功能?�,F(xiàn)代API
gateway得益于移動(dòng)APP的飛速發(fā)展��、企業(yè)對外部服務(wù)能力的進(jìn)一步開放以及IoT的發(fā)展����。
無論哪種形態(tài)的API gateway��,其作用與價(jià)值主要表現(xiàn)在以下幾個(gè)方面:
隔離
隔離是對企業(yè)系統(tǒng)安全的一種保護(hù)���,由于API是在邊界提供給企業(yè)組織之間或企業(yè)外部進(jìn)行訪問的,因此保證企業(yè)系統(tǒng)不受有威脅的訪問是API的首要作用���。API網(wǎng)關(guān)首先應(yīng)能夠保護(hù)業(yè)務(wù)系統(tǒng)免受意料之外的訪問�,這包含不正確或不規(guī)范的訪問請求�����,惡意探測�,DDOS攻擊等,因此API網(wǎng)關(guān)自身在建設(shè)上需要考慮這些能力��,無論是自主開發(fā)或是通過在API網(wǎng)關(guān)前部署專業(yè)的API保護(hù)設(shè)備�����。
解耦
服務(wù)的提供者往往希望服務(wù)具有始終穩(wěn)定的服務(wù)提供能力��,因此往往不希望受到太多的外部功能需求的干擾����,但是業(yè)務(wù)的快速發(fā)展決定了業(yè)務(wù)訪問方的需求是多變的,因此通過在服務(wù)提供方與服務(wù)訪問方之間設(shè)置一個(gè)中間層�����,通過該層封裝不同的業(yè)務(wù)訪問請求并按照統(tǒng)一的服務(wù)提供方要求進(jìn)行轉(zhuǎn)化并訪問�。通過這樣一個(gè)中間層,將兩個(gè)完全不同訴求的雙方有效的調(diào)和起來�����,實(shí)現(xiàn)解耦��。
插件
從位置與形態(tài)上看���,API
gateway類似proxy的角色��,除了負(fù)責(zé)請求的接收��、路由�����、響應(yīng)外�����,還可以執(zhí)行諸如流量控制�、日志獲取可視化、安全控制等���。同時(shí)由于業(yè)務(wù)可能快速變化����,如果核心業(yè)務(wù)功能無法在某些方面快速實(shí)現(xiàn)需求�,API
gateway可通過插件化的設(shè)計(jì)實(shí)現(xiàn)自定義功能的擴(kuò)展,例如通過對請求的改寫��,內(nèi)容控制�,多樣化驗(yàn)證接入等能力,可以通過快速開發(fā)插件或通過F5這樣具備接入與內(nèi)容控制能力的設(shè)備來快速達(dá)到目的以適應(yīng)業(yè)務(wù)靈活多變的需求�。
F5/Nginx與API gateway
API gateway所強(qiáng)調(diào)和擁有的能力與F5 BIGIP應(yīng)用交付控制器以及Nginx有著重疊,比如API
gateway的水平擴(kuò)展依賴于負(fù)載均衡機(jī)制�����,安全防護(hù)可在LB基礎(chǔ)上集成A.WAF模塊實(shí)現(xiàn)API方面的深度內(nèi)容防護(hù)���,這包含通過智能學(xué)習(xí)參數(shù)行為并進(jìn)行控制、機(jī)器學(xué)習(xí)實(shí)現(xiàn)基于行為的DDOS防御����、對XML,JSON進(jìn)行深度內(nèi)容識別和檢查��?���?赏ㄟ^TCP
queue���,基于連接或URI請求速率限制來保護(hù)API gateway�,通過slow start�����、優(yōu)雅下線等功能保證業(yè)務(wù)的連續(xù)性�。F5
BIGIP可通過類似DPDK技術(shù)實(shí)現(xiàn)請求日志高速發(fā)送到kafka等消息隊(duì)列中實(shí)現(xiàn)日志的統(tǒng)一輸出,并可以在metric中直接提供請求方法��、調(diào)用的URI及參數(shù)乃至Post內(nèi)容����、錯(cuò)誤響應(yīng)狀態(tài)、API調(diào)用延遲等數(shù)據(jù)����。F5
Access接入管理模塊則可實(shí)現(xiàn)諸如SAML,OAut,JWT驗(yàn)證能力���,通過高性能的TLS offload實(shí)現(xiàn)數(shù)據(jù)加密。
針對API 安全問題�,F(xiàn)5F5/Nginx 有什么解決方案?
Nginx以更加靈活的軟件形態(tài)融入服務(wù)作為API服務(wù)網(wǎng)關(guān)實(shí)現(xiàn)API的定義發(fā)布���,帶外策略管理�����、驗(yàn)證�����、安全防護(hù)�����、監(jiān)控分析等能力���。
在API訪問接入上可采用F5硬件設(shè)備提供統(tǒng)一高可靠接入,并實(shí)現(xiàn)總?cè)肟谶B接限制���、HTTP/JSON/XML安全控制��、基于設(shè)備指紋的BOT防御管理��,API監(jiān)控�,在具體API前端采用Nginx實(shí)現(xiàn)各個(gè)API的資源定義與發(fā)布���,版本化處理���,高級訪問策略控制,更細(xì)粒度的API
安全��,在端到端的監(jiān)控與可視化分析上可采用F5/Nginx統(tǒng)一控制器實(shí)現(xiàn)集中數(shù)據(jù)遙感與展現(xiàn)并可將API的訪問統(tǒng)計(jì)數(shù)據(jù)統(tǒng)一輸出到企業(yè)API業(yè)務(wù)分析平臺進(jìn)行商業(yè)化分析��。
在API數(shù)字經(jīng)濟(jì)時(shí)代�,API產(chǎn)品需要不斷的快速迭代以適應(yīng)市場,因此API的開發(fā)是典型的敏捷開發(fā)模型�����,這要求圍繞API的開發(fā)�、發(fā)布、管理都要能夠適應(yīng)CI/CD�����,F(xiàn)5/Nginx通過提供諸如Declarative
Onboarding接口,聲明式配置AS3接口�����,Jenkins��,Ansible集成���,Nginx Controller
RestAPI等豐富多樣的CI/CD工具集幫助實(shí)現(xiàn)快速發(fā)布與部署�����。
針對API 安全問題�����,如果您有興趣了解更多關(guān)于F5/Nginx與API聯(lián)合解決方案的信息建議去官網(wǎng)看看���,或者聯(lián)系客服。
