API Gateway: сәулет және қауіпсіздік

TL; DR

API-шлюз - бұл саясаттың жалғыз нүктесі (authz, rate, трансформация, аудит) және сыртқы әлем мен сервистер арасындағы сенім шекарасы. Табыс береді: Zero-Trust (mTLS/JWT), policy-as-code, SLO-бағдарлы трафикті басқару және ортогональдық бақылау. edge gateway → BFF → service mesh; нұсқалауды және фича-жалауларды ұстаңыз; вебхуктер мен кілттерді қорғауды автоматтандырыңыз; канареялық релиздерді тестілеңіз.

1) Орналастыру рөлдері мен паттерндері

Edge/API Gateway (north-south): сыртқы шегі. Termination TLS, WAF, DDoS, authN/Z, rate/quotas, CORS, трансформациялар, кэш, webhooks.
BFF (Backend-for-Frontend): нақты клиенттерге бейімделу қабаты (web/mobile/partners). Схемалар, агрегациялар, лимиттер, жауаптарды кешіктіру.
Internal Gateway (east-west )/Service Mesh Ingress: сервис-қызметке ішкі авторизация, mTLS, политик-роутинг.
gRPC/REST/GraphQL шлюз: протоколдық таратқыш пен схема-валидатордың бірыңғай нүктесі.

Анти-паттерндер: «барлығы ортаны оқшаулаусыз бір монолитті шлюз арқылы», «плагиндердегі жасырын бизнес-логика», «ережелерді қолмен басқару».

2) Сенім моделі және аутентификация

TLS 1. 2+/1. 3 периметрде, HSTS көпшілік домендерде; ішінде - шлюз пен сервистер арасындағы mTLS.
OAuth2/OIDC: Клиенттерге арналған Authorization Code (PKCE); серверлік интеграциялар үшін client-credentials; Қысқа TTL және кілттер ротациясы бар JWT (JWKS).
HMAC-серіктестік интеграциялар мен вебхуктер үшін қолтаңбалар (клиент үшін кілт, SHA-256/512, таймштаммды тексеру және анти-replay).
API-кілттер - тек қосымша фактор/трекинг үшін; scope, IP, мерзімін шектеу.

• authN (кім) және authZ (не мүмкін) бөліңіз. Сипаттамаларды (scopes, roles, tenant, risk flags) пайдаланыңыз.
• Барлық токендер - aud/iss/exp/nbf; clock-skew ≤ 60s; міндетті kid және JWKS-кэш ≤ 5 мин.

3) Авторизация және саясат (Zero-Trust)

Шлюздегі ABAC/RBAC: claims + сұрау контексінің үстіндегі ережелер (IP/ASN/geo/tenant).
Policy-as-Code (мысалы, OPA/Rego): ережелерді Git, CI-валидациясында, канареялық есептеулерде сақтау.
Көп жалға алу: 'X-Tenant-Id' бойынша оқшаулау, tenant-шекарадағы SSO; жалға алушыға квоталар/лимиттер.

4) Трафикті басқару және сенімділік

Rate limiting: leaky/token bucket, түйіршіктілігі: кілт/tenant/route/BIN/ел (төлем API үшін).
Quotas: күндізгі/айлық, ауыр операцияларға жеке (мысалы, есептер).
Burst control және dynamic throttling жүктеме және SLO негізінде.
Circuit breaker: қателер/жасырындылық кезінде ашу; outlier detection.
Retry with backoff+jitter; сәйкестік: 'Idempotency-Key' кілті + TTL терезесі + нәтижені сақтау.
Timeouts: клиент <шлюз <апстрим; ақылға қонымды p95-бағдарлар (мысалы, 1. 5s/3s/5s).
Failover/Canary:% -роутинг (weighted), session-affinity қосымша, blue/green.

5) Трансформациялар және валидаторлар

Схемалар: REST үшін OpenAPI/JSON схемасы; gRPC үшін Protobuf; GraphQL үшін SDL. Шлюздегі request/response валидациясы.
gRPC, REST транспиляциясы, GraphQL federation (BFF үшін).
Header қалыпқа келтіру (trace-ids, security headers), response filtering (PII-редакция).
CORS: whitelists, 'Vary' дұрыс, 'Authorization' сұрауларына тыйым салу.
Compression и response caching (ETag/Cache-Control) для safe-GET.

6) Периметр қауіпсіздігі

WAF: OWASP Top-10 ережелері, сындарлы маршруттар үшін оң модель, виртуалды патчтар.
Bot-қорғау: rate-based сигнатуралар, device fingerprint, ашық эндпоинттер үшін қорғалған капчилер.
DDoS-қалқан: upstream (cloud) + жергілікті лимиттер; гео/ASN блок-парақтары.
CSP/Referrer-Policy/X-Frame-Options - егер шлюз статикаға/виджеттерге қызмет көрсетсе.
WebSockets/SSE/WebTransport: лимиттер мен тайм-ауттардың жекелеген профильдері; токен бойынша auth-ұзарту.

7) Вебхактар: қауіпсіздік және жеткізу

Әрбір алушының жеке құпиясы бар; 'HMAC (signature, timestamp' path 'body)' қолы; рұқсат етілген уақыт терезесі (мысалы, 5 мин).
Қабылдаудағы сәйкестік: дедуп бойынша 'event _ id'.
Ретраялар: экспоненциалды, максимум N; hand-shake үшін статус-эндпоинт.
mTLS/Allow-list IP; шектеулермен сұрау бойынша replay мүмкіндігі.

8) Бақылау және аудит

Логи :/PAN/PII құпияларына логин жасамау; 'trace _ id '/' span _ id' бойынша кореллирлеу; бүркемелеу.
Метриктер: RPS, сынып бойынша error rate, latency p50/p95/p99, open circuits, retry rate, 4xx vs 5xx, saturation.
Трейдерлер: W3C Trace Context; 'traceparent '/' tracestate' дегенді апстримдерге лақтыру.
Аудит: «кім және не тудырды/өзгертті» жеке ағыны, өзгермейтін қойма; саясат оқиғалары (access-denied, quota-hit).

9) Құпиялар және криптография

Кілттерді сақтау: KMS/Vault, әрбір 90 күнде (немесе жиірек) ротация, оқуға жеке рөлдер.
Сертификаттар: автоматты түрде беру/жаңарту (ACME), мобильді үшін pinning (TOFU/HPKP-like абайлаңыз).
JWKS-ротация: екі белсенді кілт (ескі/жаңа), айқын терезелер.
TLS криптопрофильдері: ECDHE артықшылығы, осал шифрларға/хаттамаларға тыйым салу.

10) Комплаенс және деректер

PCI DSS: PAN-safe ағындары, токенизация; raw-PAN бағдарламасын ешқашан плагиндер арқылы тіркемеңіз.
GDPR/DSAR: өңір/тенант бойынша бағыттау, data residency, жою/анонимдеу.
PII экспозиция лимиті: шлюздегі өрістерді сүзу, сезімтал тақырыптарды шифрлау.

11) Топологиялар және көп аймақтық

Self-managed vs Managed (Envoy/Kong/NGINX vs бұлтты API-шлюз). Қатаң бақылау үшін/PCl - жиі self-managed.
Multi-AZ/Multi-Region Active-Active: жаһандық DNS/GSLB, health-based және гео-роутинг, пер-өңірлік secret-stores.
DR-жоспары: RPO/RTO, сұйық саясаткер бар суық/жылы standby шлюз.

12) API нұсқалау және эволюциясы

Стратегиялар: URI vN, header-versioning, content-negotiation. Көпшілік үшін - анық deprecation policy (6-12 айға ≥).
Backward-compat: схемаларды қосымша өрістерді қосу арқылы кеңейту; Git, OpenAPI линтерлеріндегі келісімшарттар.
Canary/Shadow: трафикті жаңа нұсқаның «көлеңкесіне» апару, жауаптарды салыстыру.

13) Өнімділік және кэш

GET/іспеттес сұрауларға арналған edge кэші; шарттар: ETag/Cache-Control.
Апстримдерге connection pooling; HTTP/2 қосулы ұстау; gRPC үшін - максималды пайда.
Payload budgets: дене өлшемдерін шектеу; gzip/br.
Жоғары жиілікті панельдер/каталогтар үшін BFF жауаптары.

14) Конфигурацияны басқару

GitOps: бағыттардың/саясаттың декларативті манифесттері; review/CI (lint, security scan); Канареялық топтамасы бар CD.
Шлюздегі фича-жалаулар: деплойсыз маршруттарды/ережелерді жылдам ажыратқыш.
Қайталанатын саясаттарға арналған темплейттер (OIDC, rate, CORS).

15) Шағын сниппеттер (псевдо)

yaml plugins:
- name: idempotency config:
header: Idempotency-Key ttl: 24h storage: redis

yaml
- name: rate-limiting config: {policy: local, minute: 600, key: consumer_id}
- name: response-ratelimiting config: {limits: {"heavy": {minute: 60}}, key: route_id}

yaml
- name: oauth2-introspection config:
jwks_uri: https://idp/.well-known/jwks. json required_scopes: ["payments:write","payments:read"]

yaml
- name: waf config:
mode: block ruleset: owasp_crs exclusions: ["/health", "/metrics"]

pseudo sig = HMAC_SHA256(secret, timestamp + "\n" + method + "\n" + path + "\n" + sha256(body))
assert     now - timestamp     < 300s

16) Шлюз үшін НФТ (NFR) және SLO

Uptime (ай): ≥ 99. 95% (edge), ≥ 99. 9% (internal).
Latency p95: ≤ 50-100 ms апстримге қоспалар.
Error budget: ≤ 0. шлюзден 05% 5xx (апстримді қоспағанда).
Қауіпсіздік саясаты: 100% TLS сұраулары; 0 құпия таралу инциденттері; WAF-ережелерінің MTTR осалдығы ≤ 24h.

17) Енгізу чек-парағы

• Сәулет картасы: edge → BFF → mesh, домендер/маршруттар тізімі.
• TLS/mTLS, JWKS-ротация, KMS/Vault құпиялары.
• OAuth2/OIDC, scopes/claims, ABAC/OPA.
• Rate/quotas, circuit-breaker, retry/backoff, іспеттілік.
• OpenAPI/JSON Schema валидаторлары, gRPC/REST/GraphQL трансформациялары.
• WAF/DDoS/бот профилі, CORS/CSP.
• Webhook қауіпсіздік: HMAC, anti-replay, allow-list.
• Логи/метрика/трейстер; қол жеткізу/өзгерістер аудиті.
• GitOps/policy-as-code; канареялық төсемдер; DR-жоспары.
• PCI/GDPR бақылау: бүркемелеу, ретенциялар, DSAR рәсімдері.

18) Жиі қателер

Шлюздің конфигурациясында/логында құпияларды сақтау.
Global "CORS/барлығына сенім 'Origin'.
Демпотенттік пен адал тайм-ауттардың болмауы → дубль және көшкін.
Шлюз плагиндерінде authN және бизнес-логиканы араластыру.
JWKS ротациясы және kid → «тығылған» кілттер жоқ.
trace-корреляциясыз бақылау → соқыр RCA.

Түйіндеме

API Gateway - бұл жай ғана реверс-прокси емес, өнімділік, комплаенс және монетизация ұстанатын саясат пен қауіпсіздік платформасы. Zero-Trust жасаңыз, келісім-шарттарды сызбалармен бекітіңіз, трафикті SLO арқылы басқарыңыз, конфигурацияларды GitOps және policy-as-code арқылы автоматтандырыңыз. Сонда шлюз тар мойын емес, сіздің сәулетіңіздің тұрақты «шетіне» айналады.