8、边缘到端点的安全
对于微服务架构,需要考虑“边缘到端点”的安全策略,具体如下图6所示:
如图6所示,外部API网关执行身份认证以及其他功能,例如内容检查,然后使用诸如JSON web令牌之类的标准,将安全内容“注入”到API调用中。接下来,微网关可以使用此安全内容信息(包括API客户端的属性,如位置)执行细粒度授权。您也可以选择,使用外部化访问管理产品,来执行该细粒度授权,例如Axiomatics Policy Server。如果API调用得到了授权,那么微网关会将它们传递给微服务本身。这是边缘到端点安全策略的一个好处。这种体系结构的另一个优点是微服务到微服务之间的通信不需要经过外部网关层,也可以使用JSON web令牌。
六、下一步
如《如何建立有效的API安全策略(三)》中的图4所示,API安全性的第一步是了解您的组织创建和使用的API。选择适当的工具来保护这些API,通过使用功能方法来标识API安全策略中的步骤,然后将这些步骤映射到提供这些功能的产品(如《如何建立有效的API安全策略(二)》中的图1、2和3所示)。
确保表1(见《如何建立有效的API安全策略(一)》)中列出的所有相关利益者都能看到这个过程。最后,抵制诱惑,不是自己去构建API安全策略,而是使用现成的产品(其中一些可能已经被您的组织部署了),从而来获得API安全性的好处。