Implemente um perímetro de segurança em torno do seu API Gateway

API Gateways permitem a gestão e roteamento inteligente de requisições de API para os microserviços de backend apropriados em redes distribuídas. Eles atuam como um único ponto de entrada para todas as requisições de API. Enquanto um API Gateway facilita o fluxo eficiente de tráfego e centraliza o controle, ele também introduz a necessidade de medidas de segurança e monitoramento para prevenir problemas de desempenho e vulnerabilidades de segurança.

Definir um perímetro de segurança robusto garante que apenas requisições validadas passem, aplicando controle de acesso, criptografia de tráfego e detecção de ameaças. Com essa camada extra de proteção, você pode prevenir acessos não autorizados, mitigar ataques e proteger dados sensíveis. Dessa forma, seu gateway gerencia o tráfego e se torna um ponto de verificação para evitar que atividades maliciosas cheguem às suas origens.

Através desse perímetro, você pode implementar soluções como:

  • Rate limiting e throttling para controlar o volume de requisições de API.
  • Regras WAF personalizadas para atender às necessidades específicas da sua infraestrutura.
  • Detecção de ataques DDoS, bots maliciosos e outras ameaças comuns.
  • Mecanismos de autenticação para proteger suas edge applications.
  • Ferramentas de observabilidade para monitorar o desempenho e identificar ameaças.

Diagrama de arquitetura de segurança de API Gateways

API Gateway Security Architecture Diagram

Fluxo de dados de segurança de API Gateways

  1. Uma requisição é enviada ao API Gateway.
    • No caso do usuário, pode ser um pedido de conteúdo.
    • O cliente pode ser um desenvolvedor usando a plataforma da Azion como um perímetro de segurança de API tentando configurar e gerenciar políticas.
  2. O API Gateway processa a requisição e a redireciona para a Plataforma de Edge da Azion.
  3. O Edge Firewall verifica e analisa a requisição para garantir que seja segura, incluindo regras do Rules Engine, Edge Functions, regras WAF, mitigação de DDoS, políticas de network list e mais.
  4. Integrações do Marketplace para segurança são executadas para completar a análise e verificação.
    • Com base nas configurações do firewall, gerenciamento de contas e integrações, o sistema nega qualquer requisição não autorizada. Caso contrário, a requisição continua o fluxo.
  5. Edge Application verifica e analisa a requisição para executar as regras, como cache e otimização de imagens.
  6. A requisição só chega à origem caso o edge node não contenha a resposta necessária, após passar por todas as políticas de segurança implementadas.
  7. O usuário recebe a resposta.
  8. Os clientes podem monitorar toda a atividade através dos produtos Observe.
    • Sistemas SIEM também podem ser implementados através de conectores de Data Stream.

Componentes

  • Edge Application: permite que você configure uma edge application para definir políticas de entrega e cache.
  • Edge Firewall: fornece configurações principais para criar sua instância, permitindo que você a associe a domínios e ative módulos para proteger usuários, aplicações e redes.
  • Marketplace Integrations: funcionalidades baseadas em edge functions para compor e melhorar suas aplicações, aplicando políticas de segurança.
  • Data Stream e Real-Time Events permitem que você monitore toda a atividade do API Gateway.

Implementação

  1. Implement your API Gateway.
  2. Crie uma edge application.
  3. Associe o domínio personalizado do seu API Gateway com sua edge application.
  4. Crie seus Digital Certificates.
  5. Crie um edge firewall e selecione o domínio que deseja proteger.
  6. Monitore o comportamento do seu API Gateway através dos produtos Observe.

Contribuidores