在技术形态上,API可以帮助应用服务之间实现更好的相互通信,帮助企业联结上下游关系,解锁数字商业模型。然而,随着企业应用微服务化的进一步深入,IDC调查显示,针对API 安全问题,API管理方案复杂,如何确保API 安全,以及生命周期管理是API部署中的三大挑战。本次,我将给大家分析如何联合F5与NGINX Plus实现更加安全的API部署与管控。
API gateway一般是作为系统边界存在,例如银行业务系统中的前置机其实就是一种API gateway,它对系统进行安全隔离,对服务进行抽象,同时还要负责认证、报文转换、访问控制等非业务性功能。现代API gateway得益于移动APP的飞速发展、企业对外部服务能力的进一步开放以及IoT的发展。
无论哪种形态的API gateway,其作用与价值主要表现在以下几个方面:
隔离
隔离是对企业系统安全的一种保护,由于API是在边界提供给企业组织之间或企业外部进行访问的,因此保证企业系统不受有威胁的访问是API的首要作用。API网关首先应能够保护业务系统免受意料之外的访问,这包含不正确或不规范的访问请求,恶意探测,DDOS攻击等,因此API网关自身在建设上需要考虑这些能力,无论是自主开发或是通过在API网关前部署专业的API保护设备。
解耦
服务的提供者往往希望服务具有始终稳定的服务提供能力,因此往往不希望受到太多的外部功能需求的干扰,但是业务的快速发展决定了业务访问方的需求是多变的,因此通过在服务提供方与服务访问方之间设置一个中间层,通过该层封装不同的业务访问请求并按照统一的服务提供方要求进行转化并访问。通过这样一个中间层,将两个完全不同诉求的双方有效的调和起来,实现解耦。
插件
从位置与形态上看,API gateway类似proxy的角色,除了负责请求的接收、路由、响应外,还可以执行诸如流量控制、日志获取可视化、安全控制等。同时由于业务可能快速变化,如果核心业务功能无法在某些方面快速实现需求,API gateway可通过插件化的设计实现自定义功能的扩展,例如通过对请求的改写,内容控制,多样化验证接入等能力,可以通过快速开发插件或通过F5这样具备接入与内容控制能力的设备来快速达到目的以适应业务灵活多变的需求。
F5/Nginx与API gateway
API gateway所强调和拥有的能力与F5 BIGIP应用交付控制器以及Nginx有着重叠,比如API gateway的水平扩展依赖于负载均衡机制,安全防护可在LB基础上集成A.WAF模块实现API方面的深度内容防护,这包含通过智能学习参数行为并进行控制、机器学习实现基于行为的DDOS防御、对XML,JSON进行深度内容识别和检查。可通过TCP queue,基于连接或URI请求速率限制来保护API gateway,通过slow start、优雅下线等功能保证业务的连续性。F5 BIGIP可通过类似DPDK技术实现请求日志高速发送到kafka等消息队列中实现日志的统一输出,并可以在metric中直接提供请求方法、调用的URI及参数乃至Post内容、错误响应状态、API调用延迟等数据。F5 Access接入管理模块则可实现诸如SAML,OAut,JWT验证能力,通过高性能的TLS offload实现数据加密。
针对API 安全问题,F5F5/Nginx 有什么解决方案?
Nginx以更加灵活的软件形态融入服务作为API服务网关实现API的定义发布,带外策略管理、验证、安全防护、监控分析等能力。
在API访问接入上可采用F5硬件设备提供统一高可靠接入,并实现总入口连接限制、HTTP/JSON/XML安全控制、基于设备指纹的BOT防御管理,API监控,在具体API前端采用Nginx实现各个API的资源定义与发布,版本化处理,高级访问策略控制,更细粒度的API 安全,在端到端的监控与可视化分析上可采用F5/Nginx统一控制器实现集中数据遥感与展现并可将API的访问统计数据统一输出到企业API业务分析平台进行商业化分析。
在API数字经济时代,API产品需要不断的快速迭代以适应市场,因此API的开发是典型的敏捷开发模型,这要求围绕API的开发、发布、管理都要能够适应CI/CD,F5/Nginx通过提供诸如Declarative Onboarding接口,声明式配置AS3接口,Jenkins,Ansible集成,Nginx Controller RestAPI等丰富多样的CI/CD工具集帮助实现快速发布与部署。
针对API 安全问题,如果您有兴趣了解更多关于F5/Nginx与API联合解决方案的信息建议去官网看看,或者联系客服。
