技术干货 | API网关安全

API网关是Infini API平台系列核心产品之一，我们在上篇文章（技术干货 | API网关与服务安全最佳实践）介绍API网关设计特点、主要功能、重要场景等方面。

本文主要从API网关的WAF动态安全防护、安全认证、加解密、加验签、限流、API鉴权的层面进行着重阐述。

随着IOT设备、移动端应用、云端应用的快速发展，内外网的交互越来越多，那么安全问题也对IT部门提出了更高的挑战，有以下几个方面：

根据实践经验以及客户的要求API安全主要分为安全防护、安全认证、进入控制、API鉴权、合规性审查几个方面，包含了从DMZ区到APP区的整个过程的安全防护以及防止敏感信息泄露。

在上篇文章我们已经做了部分阐述，WAF主要是Web应用防火墙是通过执行一系列针对HTTP和HTTPS的安全策略来专门为Web应用提供保护的一款安全模块，WAF是安全防护是第一道防护大门，他主要是对流量进行过滤和清晰，防止流量深入到后端服务，造成不可控的事件发生。

安全防护主要分为事前监控、事中防护、事后审计。

事前监控主要是分为：可用性监控、安全态势监控、漏洞风险监控、内容问题监控、敏感信息监控。

事中防护主要分为：注入攻击防护、跨站攻击防护、盗链攻击防护、扫描攻击防护、篡改攻击防护。

事后审计主要分为：安全事件审计、访问行为审计、系统状态审计、漏洞解决方案、攻击报文摘要、篡改内容恢复。

随着等保2.0的发布，安全防护是等保很重要的一块内容，API网关上的WAF产品可以满足这个需求，还可以灵活定制，但是大部分WAF产品误报很严重，需求上需要实现API细粒度的防护。并可以进行定制化进行告警。

我们一般实现的策略是通过限流、熔断、降权，限流的策略有很多种，我们需根据用户维度、APP维度、IP维度进行限流。

限流一般都是事前预测，比如我们的后端服务只能够保证1000TPS的处理，那么配置的时候不能超过这个数字，当然到达800TPS的时候，我们要通过告警进行事前感知。

限流其实还流量调度平台进行结合使用，当发生流量过大的时候是否可以通过服务降权以及熔断来保护后端服务，方案如下图：

我们主要是通过传输层HTTPS协议、加密解密敏感报文、加签和验签整个报文来保证传输的数据不被篡改。

这一块主要和API鉴权有关系，API鉴权主要的关联方：开发者门户、APP、API，有些企业也会有产品的维度，不过是一个虚拟维度。API鉴权还要配合Oauth2认证中心来保证资源不被非法调用。