400-6655-745
技术干货 | API网关与服务安全最佳实践
2019-12-06
API网关是Infini API平台系列核心产品之一,我们在上篇《API网关探索和实践中》中详细介绍了API网关的功能、分类以及趋势发展,本文主要从API网关设计特点、主要功能、重要场景、高可用几个方面进行阐述。


API网关设计特点


Infini API智能安全网关主要是基于Kong自研的分布式网关,由于Kong是基于OpenResty的升级改造,具备高性能、易扩展、稳定可靠、产品概念良好的特性。



那么Infini API智能安全网关主要具有哪些特色呢?


● 架构先进性,主要是基于新一代微服务架构,可以无缝支持Service Mesh。


● 简单易用,基于Docker化部署,以及K8S的编排,操作简单,易扩展。


● 智能告警,集成日志分析平台,可自定义查询界面,可以界面化进行用户行为分析,并可以自动智能告警。


● 自带WAF功能,可以实现态势感知、主动防御、调查和响应一体化的安全策略。


● 性能卓越,由于是基于LUA开发,性能单台服务器可以实现10w并发。


● 云原生,支持多租户、实现自动物理隔离。


● 自带安全认证中心,可以实现API Key、Basic Auth、OAuth2、JWT的安全认证。


● 自带日志分析监控平台,基于大数据实现的日志分析平台,主要开源组件包含Flume、Elasticsearch、Grafana。


● 通过流量复制和流量回放,实现在线仿真生产环境业务测试。


功能介绍


Infini API软件主要包含:API网关、API管理平台、API门户三大模块,整体逻辑功能如下图:

安全、认证、流控、格式转换、协议转换、微服务、监控和分析。




API网关 是最核心的模块之一,他是整个产品的主要骨架,主要包含了路由转发、安全、认证、格式转换、WAF、微服务网关功能。


API管理平台 主要是API治理层面,实现了API设计、API开发、API测试、API部署、API销毁的全生命周期管理。还包含了API网关管理配置、日志监控、日志分析、BI报表等管理的功能。


API门户 主要包括了服务目录、API申请、计费管理、文档管理、授权管理等功能。


软件产品设计中,可插拔机制是一个非常重要的特性,我们实现的API网关就是基于这种机制进行的实现,所有功能插件都是只有配置的时候立即生效。


API网关目前的公共组件功能分为6大块,他们是安全、认证、流控、格式转换、协议转换、微服务、监控和分析




API网关中有一个比较核心的功能是安全,这个安全主要是外部用户调用网管内的API,通过API网关实现用户认证、安全、WAF、流量控制等功能。


根据客户的需求整理了一些插件主要包含如下:


✔ OAuth2认证,通过外部认证中心(开源Kong中没有实现)

✔ MD5验签

✔ Kafka日志插件

✔ 针对API全局流控插件

✔ 接口缓存插件

✔ 灰度发布插件

✔ WAF插件(IP拦截、SQL注入等)

✔ RBAC插件

✔ Dubbo&gRPC转换插件

✔ 流量复制和流量回放



安全防护设计


组件中认证和安全防护是API网关最重要的一个产品功能,API网关是所有流量入口的一道重要防线,为企业内的业务系统服务保驾护航。


下面主要从两个方面来阐述下,如何实现用户认证和API鉴权以及安全防护:


(一)Oauth2安全认证是互联网非常成熟的认证,结合API网关可以实现统一的身份认证和授权的统一管理。




主要的步骤说明如下:


第一步:获取Token

1. 消费者填写用户名和密码,在界面进行登录,消费者携带用户名和密码以及client_id以及client_secret发送给Kong网关;

2. Kong网关负责将请求代理转发给后端应用;

3. 后端应用将用户名和密码发送给统一身份认证中心进行认证,认证成功后返回True;

4. 认证成功后通过client_id、client_secret、provision_key发送给Kong获取Token;

5. Kong根据请求的header头参数,进行参数验证;

6. 验证通过,将Token返回给后端应用;

7. 后端应用将Token返回Kong;

8. Kong将Token返回给消费者。


第二步:验证Token,并请求后端资源服务

1. 消费者携带Token,请求需要访问的资源服务;

2. Kong将请求的Token进行验证;

3. 验证通过,代理转发到后端服务,如果后端服务是多实例的,可以负载分发到后端实例;

4. 后端实例根据请求的参数,返回后端服务资源;;

5. 后端服务资源内容有Kong转发给消费者。


第三步:获取刷新Token

1. 消费者将client_id和client_secret发送给Kong进行获取refresh_token;

2. Kong根据请求参数进行验证,验证通过将refresh_token返回给消费端。


关注点:

1. 认证中心需要调用API网关Token 服务才能获取Token,因为API网关需要记录Token值,才能在二次调用的时候进行验证。

2. API鉴权中心和API网关进行分离,实现产品设计中的松耦合特性。


(二)通过WAF组件、日志分析模块、告警模块、日志监控模块可以实现事前预警、事中防御、事后调查和分析。


1. 事前预警


2. 事中防御


3. 事后调查




重要场景


1. 打通企业云上云下本地应用,重塑业务架构。




2. 对外开放企业能力,建设企业API生态圈,实现API能力变现,整合内外服务能力,快速响应业务变化。



3. 保证API应用安全,实现态势感知、主动防御。



4. 实现数据共享和传递,数据价值变现。



企业的架构总是在不断的进行演进,从集中式SOA架构、分布式微服务架构、到云原生的服务网格,业务是企业架构演进的动力,无论架构如何变化,API网关做为微服务的流量统一入口,为调用提供安全、高效、可视化的监控保障。相信越来越多的企业在践行CI/CD的过程中会越来越重视API网关,通过API网关打通云上、云上、企业内部、第三方,实现企业内部服务赋能,敏捷响应企业的业务变化。

相关推荐

您的需求,我们随时倾听

  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
提交
上海派拉
  • 上海派拉扫码关注派拉
  • 上海派拉400-6655-745
  • 上海派拉

    marketing@paraview.cn

  • 上海派拉上海
  • 上海派拉北京
  • 上海派拉广州
  • 上海派拉深圳
  • 上海派拉长春
  • 上海派拉武汉
  • 上海派拉成都
© 2015 Paraview Software. All rights reserved.
沪ICP备13029541号

沪公网安备 31011502012922号