API 接入零信任部署實(shí)踐指南

實(shí)施數(shù)字化轉(zhuǎn)型的公司有著明確的業(yè)務(wù)需求。這包括借助現(xiàn)代業(yè)務(wù)應(yīng)用改善客戶體驗(yàn)，采用敏捷實(shí)踐以超越市場競爭對手，以及利用市場優(yōu)勢創(chuàng)造新的收入來源。新型應(yīng)用架構(gòu)不僅可提高開發(fā)效率，而且集容器、微服務(wù)和 API 于一體，可幫助滿足這些需求。

對現(xiàn)代應(yīng)用來說，安全性是現(xiàn)代應(yīng)用敏捷性和上線時(shí)效性至關(guān)重要的一部分。企業(yè)已經(jīng)開始考慮使用 WAAP 解決方案來應(yīng)對 API 安全隱患，其中 OWASP API Top 10 是 API 安全的關(guān)鍵第一步防線，通過 Salt Security《State of API Security Report, Q3 2022》報(bào)告，說明近一半用戶安全團(tuán)隊(duì)都沒有將 OWASP API 安全性前十列為重點(diǎn)領(lǐng)域，對于 OWASP API TOP 1 失效的對象級授權(quán)是防護(hù)的關(guān)鍵。

• 網(wǎng)絡(luò)零信任  Zero Trust Network Architecture

• 應(yīng)用零信任  Zero Trust Application Access

通過訪問流程對應(yīng)關(guān)系，安全加固需要在 External APIs 和 Internal APIs 做到 API 接入持續(xù)驗(yàn)證，永不信任，確保接入應(yīng)用的安全性。

F5 在 External APIs 和 Internal APIs 做到 API 接入持續(xù)驗(yàn)證，永不信任，可以實(shí)現(xiàn)對接入控制權(quán)限限制，其中可以包括地位位置、URL、部門信息、情報(bào)信息，作為驗(yàn)證的屬性閥值，保證接入應(yīng)用的安全性。

當(dāng)您對 API 流量實(shí)施身份驗(yàn)證時(shí)，成功證明其身份的客戶端會從受信任的身份提供商那里獲得令牌，然后客戶端再為每個(gè)HTTP 請求提供訪問令牌。

在將請求傳遞給應(yīng)用之前，通過 APM或者 NGINX Plus 會驗(yàn)證令牌并提取在令牌中編碼的身份和其他數(shù)據(jù)（例如組成員資格），以確保對客戶端進(jìn)行身份驗(yàn)證和授權(quán)。

令牌得到驗(yàn)證并且客戶端獲得訪問資源的授權(quán)后，請求就會被傳遞到應(yīng)用服務(wù)器。驗(yàn)證方法有很多種，其中使用 OpenID Connect（基于 OAUTH 2.0 協(xié)議構(gòu)建）是一種流行的做法，它可以對 API 請求進(jìn)行第三方身份驗(yàn)證。