針對API 安全問題，F5 有什麼解決方案？

　　

　　在技術形态上，API可以幫助應用服務之間實作更好的互相通信，幫助企業聯結上下遊關系，解鎖數字商業模型。然而，随着企業應用微服務化的進一步深入，IDC調查顯示，針對API 安全問題，API管理方案複雜，如何確定API 安全，以及生命周期管理是API部署中的三大挑戰。本次，我将給大家分析如何聯合F5與NGINX Plus實作更加安全的API部署與管控。

　　API gateway一般是作為系統邊界存在，例如銀行業務系統中的前置機其實就是一種API gateway，它對系統進行安全隔離，對服務進行抽象，同時還要負責認證、封包轉換、通路控制等非業務性功能。現代API gateway得益于移動APP的飛速發展、企業對外部服務能力的進一步開放以及IoT的發展。

　　無論哪種形态的API gateway，其作用與價值主要表現在以下幾個方面：

　　隔離

　　隔離是對企業系統安全的一種保護，由于API是在邊界提供給企業組織之間或企業外部進行通路的，是以保證企業系統不受有威脅的通路是API的首要作用。API網關首先應能夠保護業務系統免受意料之外的通路，這包含不正确或不規範的通路請求，惡意探測，DDOS攻擊等，是以API網關自身在建設上需要考慮這些能力，無論是自主開發或是通過在API網關前部署專業的API保護裝置。

　　解耦

　　服務的提供者往往希望服務具有始終穩定的服務提供能力，是以往往不希望受到太多的外部功能需求的幹擾，但是業務的快速發展決定了業務通路方的需求是多變的，是以通過在服務提供方與服務通路方之間設定一個中間層，通過該層封裝不同的業務通路請求并按照統一的服務提供方要求進行轉化并通路。通過這樣一個中間層，将兩個完全不同訴求的雙方有效的調和起來，實作解耦。

　　插件

　　從位置與形态上看，API gateway類似proxy的角色，除了負責請求的接收、路由、響應外，還可以執行諸如流量控制、日志擷取可視化、安全控制等。同時由于業務可能快速變化，如果核心業務功能無法在某些方面快速實作需求，API gateway可通過插件化的設計實作自定義功能的擴充，例如通過對請求的改寫，内容控制，多樣化驗證接入等能力，可以通過快速開發插件或通過F5這樣具備接入與内容控制能力的裝置來快速達到目的以适應業務靈活多變的需求。

　　F5/Nginx與API gateway

　　API gateway所強調和擁有的能力與F5 BIGIP應用傳遞控制器以及Nginx有着重疊，比如API gateway的水準擴充依賴于負載均衡機制，安全防護可在LB基礎上內建A.WAF子產品實作API方面的深度内容防護，這包含通過智能學習參數行為并進行控制、機器學習實作基于行為的DDOS防禦、對XML,JSON進行深度内容識别和檢查。可通過TCP queue，基于連接配接或URI請求速率限制來保護API gateway，通過slow start、優雅下線等功能保證業務的連續性。F5 BIGIP可通過類似DPDK技術實作請求日志高速發送到kafka等消息隊列中實作日志的統一輸出，并可以在metric中直接提供請求方法、調用的URI及參數乃至Post内容、錯誤響應狀态、API調用延遲等資料。F5 Access接入管理子產品則可實作諸如SAML,OAut,JWT驗證能力，通過高性能的TLS offload實作資料加密。

　　針對API 安全問題，F5F5/Nginx 有什麼解決方案？

　　Nginx以更加靈活的軟體形态融入服務作為API服務網關實作API的定義釋出，帶外政策管理、驗證、安全防護、監控分析等能力。

　　在API通路接入上可采用F5硬體裝置提供統一高可靠接入，并實作總入口連接配接限制、HTTP/JSON/XML安全控制、基于裝置指紋的BOT防禦管理，API監控，在具體API前端采用Nginx實作各個API的資源定義與釋出，版本化處理，進階通路政策控制，更細粒度的API 安全，在端到端的監控與可視化分析上可采用F5/Nginx統一控制器實作集中資料遙感與展現并可将API的通路統計資料統一輸出到企業API業務分析平台進行商業化分析。

　　在API數字經濟時代，API産品需要不斷的快速疊代以适應市場，是以API的開發是典型的靈活開發模型，這要求圍繞API的開發、釋出、管理都要能夠适應CI/CD，F5/Nginx通過提供諸如Declarative Onboarding接口，聲明式配置AS3接口，Jenkins，Ansible內建，Nginx Controller RestAPI等豐富多樣的CI/CD工具集幫助實作快速釋出與部署。

　　針對API 安全問題，如果您有興趣了解更多關于F5/Nginx與API聯合解決方案的資訊建議去官網看看，或者聯系客服。