GH GambleHub

Ağ Geçidi API Mimarisi ve Güvenliği

TL; DR

API ağ geçidi, politikanın tek noktası (authz, oran, dönüşüm, denetim) ve dış dünya ile hizmetler arasındaki güven sınırıdır. Başarı, Zero-Trust (mTLS/JWT), kod olarak politika, SLO odaklı trafik yönetimi ve ortogonal gözlemlenebilirlik ile sağlanır. Yapı: kenar ağ geçidi - BFF - servis ağı; Sürümleri ve özellik bayraklarını tutun; Webhook'ların ve tuşların korunmasını otomatikleştirin kanarya sürümlerini test edin.

1) Roller ve yerleştirme kalıpları

Kenar/API Ağ Geçidi (kuzey-güney): dış sınır. Sonlandırma TLS, WAF, DDoS, authN/Z, oran/kotalar, CORS, dönüşümler, önbellek, webhooks.
BFF (Backend-for-Frontend): Belirli müşteriler için özelleştirme katmanı (web/mobil/iş ortakları). Şemalar, toplamalar, sınırlar, yanıt önbelleğe alma.
Dahili Ağ Geçidi (doğu-batı )/Servis Mesh Girişi: dahili servis-servis yetkilendirmesi, mTLS, ilke yönlendirme.
gRPC/REST/GraphQL ağ geçidi: tek nokta protokol çeviricisi ve doğrulayıcı devreler.

Anti-desenler: "ortamların izolasyonu olmadan tek bir monolitik ağ geçidi boyunca", "eklentilerde gizli iş mantığı", "manuel kural yönetimi".

2) Güven modeli ve kimlik doğrulama

TLS 1. 2+/1. 3 çevrede, HSTS halka açık alanlarda; İçinde - ağ geçidi ve hizmetler arasında mTLS.
OAuth2/OIDC: Müşteriler için Yetkilendirme Kodu (PKCE); Sunucu entegrasyonları için istemci kimlik bilgileri; Kısa TTL ve anahtar rotasyonu (JWKS) ile JWT.
İş ortağı entegrasyonları ve webhook'lar için HMAC imzaları (istemci anahtarı, SHA-256/512, zaman damgası doğrulaması ve anti-replay).
API anahtarları - sadece ek bir faktör olarak/izleme için; Limit kapsamı, IP, terim.

En iyi uygulamalar:
  • Ayrı authN (kim) ve authZ (ne yapabilirsiniz). Nitelikleri kullanın (kapsamlar, roller, kiracı, risk bayrakları).
  • Tüm belirteçler aud/iss/exp/nbf ile; 60'lı ≤ saat eğriliği; Zorunlu çocuk ve JWKS önbelleği ≤ 5 dakika.

3) Yetkilendirme ve politikalar (Sıfır Güven)

Ağ geçidinde ABAC/RBAC: talepler üzerindeki kurallar + talep bağlamı (IP/ASN/geo/tenant).
Kod Olarak İlke (örneğin, OPA/Rego): Git, CI doğrulaması, kanarya hesaplamalarında kuralları depolamak.
Çoklu kiralama: 'X-Tenant-Id', SSO tarafından kiracı sınırında izolasyon; kiracı başına kota/limit.

4) Trafik yönetimi ve güvenilirlik

Hız sınırlaması: sızdıran/belirteç kovası, ayrıntı: anahtar/kiracı/rota/BIN/ülke (ödeme API'leri için).
Kotalar: gün/ay, ağır operasyonlar için ayrı (örneğin, raporlar).
Yük ve SLO'ya dayalı patlama kontrolü ve dinamik kısma.
Devre kesici: hataların/gecikmelerin açılması; Yukarı akış tarafından outlier algılama.
Backoff + jitter ile yeniden deneyin; Idempotency: anahtar 'Idempotency-Key' + TTL pencere + sonuç depolama.
Zaman aşımları: istemci <gateway <upstream; Makul p95 referans noktaları (örn. 1. 5s/3s/5s).
Yük Devretme/Kanarya: % - yönlendirme (ağırlıklı), oturum yakınlığı isteğe bağlı, mavi/yeşil.

5) Dönüşümler ve doğrulayıcılar

Şemalar: REST için OpenAPI/JSON Şeması; GRPC için Protobuf; GraphQL için SDL. Ağ geçidinde istek/yanıt doğrulama.
gRPC↔REST transpozisyon, GraphQL federasyonu (BFF için).
Üstbilgi normalleştirme (trace-ids, güvenlik başlıkları), yanıt filtreleme (PII sürümü).
CORS: beyaz listeler, 'Vary' correct, ban'on 'Authorization' requests.
Güvenli GET и sıkıştırma для yanıt önbelleği (ETag/Cache-Control).

6) Çevre güvenliği

WAF: OWASP Top-10 kuralları, kritik yönlendirmeler için pozitif model, sanal yamalar.
Bot koruması: oran tabanlı imzalar, cihaz parmak izi, genel uç noktalar için korumalı captchas.
DDoS kalkanı: yukarı akış (bulut) + yerel sınırlar; Geo/ASN blok listeleri.
CSP/Referrer-Policy/X-Frame-Options - ağ geçidi statik/widget'lar sunuyorsa.
WebSockets/SSE/WebTransport: ayrı limit ve zaman aşımı profilleri; Token ile otomatik yenileme.

7) Webhooks: Güvenlik ve Teslimat

Her alıcının kendi sırrı vardır; İmza 'HMAC (imza, zaman damgası' yolu 'gövde)'; Geçerli zaman penceresi (örneğin, 5 dakika).
Resepsiyonda idempotans: 'event _ id'ile dedup.
Retrai: üstel, maksimum N; El sıkışma için durum-bitiş noktası.

mTLS/Allow-list IP; Kısıtlamalarla talep üzerine tekrar oynatma yeteneği

8) Gözlemlenebilirlik ve denetim

Günlükler: sırları kaydetmeyin/PAN/PII; 'trace _ id'/' span _ id'ile ilişkilidir; maskeleme.
Metrikler: RPS, sınıfa göre hata oranı, gecikme süresi p50/p95/p99, açık devreler, yeniden deneme oranı, 4xx vs 5xx, doygunluk.
Yollar: W3C Trace Bağlam; Yukarı akıntıya 'traceparent'/' tracestate' atın.
Denetim: ayrı'kim ve ne denilen/değişti "akışı, değiştirilemez depolama; Politika olayları (erişim reddedildi, kota vuruldu).

9) Sırlar ve kriptografi

Anahtar depolama: KMS/Vault, her 90 günde bir (veya daha sık) rotasyon, ayrı okuma rolleri.
Sertifikalar: otomatik sorun/güncelleme (ACME), mobil (TOFU/HPKP benzeri uyarı) için sabitleme.
JWKS döndürme: iki aktif anahtar (eski/yeni), açık rulo pencereleri.
Cryptoprofiles TLS: ECDHE tercihi, savunmasız şifrelerin/protokollerin yasaklanması.

10) Uyumluluk ve veriler

PCI DSS: PAN-güvenli akışlar, tokenization; Asla eklentiler aracılığıyla raw-PAN proxy olmaz.
GDPR/DSAR: bölge/kiracı yönlendirme, veri ikameti, silme/anonimleştirme.
PII maruz kalma sınırı: ağ geçidindeki alanları filtrelemek, hassas başlıkları şifrelemek.

11) Topolojiler ve çok bölgesellik

Kendi Kendini Yöneten vs Yönetilen (Envoy/Kong/NGINX vs Cloud API Gateway). Sıkı kontrol/PCl için - daha sık kendi kendini yöneten.
Multi-AZ/Multi-Region Active-Active: global DNS/GSLB, sağlık tabanlı ve coğrafi yönlendirme, bölge başına gizli mağazalar.
DR planı: RPO/RTO, politika mavisi ile soğuk/sıcak bekleme ağ geçidi.

12) API sürüm oluşturma ve evrim

Stratejiler: URI vN, header-versioning, content-negotiation. Kamu için - açık bir amortisman politikası (≥6 -12 ay).
Backward-compat: isteğe bağlı alanlar ekleyerek şemaları genişletin; Git'teki sözleşmeler, OpenAPI linters.
Kanarya/Gölge: Yeni sürümün "gölgesinde" çalışan trafik, cevapların karşılaştırılması.

13) Performans ve önbellek

GET/idempotent istekleri için kenarda önbellek; koşullar: doğru ETag/Cache-Control.
Yukarı akışa bağlantı havuzu; HTTP/2 devam edin; gRPC için - maksimum fayda.
Yük bütçeleri-Cisimlerin boyutunu sınırlar gzip/br.
Yüksek frekanslı paneller/dizinler için ön hesaplama BFF yanıtları.

14) Yapılandırma yönetimi

GitOps: rotaların/politikaların bildirimsel manifestoları; İnceleme/CI (tiftik, güvenlik taraması); Kanarya partileriyle CD.
Ağ geçidindeki özellik bayrakları: dağıtılmadan hızlı bir rota/kural anahtarı.
Tekrarlanan politikalar için şablonlar (OIDC, rate, CORS).

15) Mini parçacıklar (sözde)

Idempotency (Kong/Envoy tarzı): 
yaml plugins:
- name: idempotency config:
header: Idempotency-Key ttl: 24h storage: redis
Oran/kota: 
yaml
- name: rate-limiting config: {policy: local, minute: 600, key: consumer_id}
- name: response-ratelimiting config: {limits: {"heavy": {minute: 60}}, key: route_id}
JWT/OIDC: 
yaml
- name: oauth2-introspection config:
jwks_uri: https://idp/.well-known/jwks. json required_scopes: ["payments:write","payments:read"]
WAF (profil): 
yaml
- name: waf config:
mode: block ruleset: owasp_crs exclusions: ["/health", "/metrics"]
Webhook imzası: 
pseudo sig = HMAC_SHA256(secret, timestamp + "\n" + method + "\n" + path + "\n" + sha256(body))
assert     now - timestamp     < 300s

16) Ağ geçidi için NFR ve SLO

Çalışma süresi (ay): ≥ 99. %95 (kenar), ≥ 99. %9 (dahili).
Gecikme p95: ≤ 50-100 ms yukarı akış katkı maddeleri.
Hata bütçesi: ≤ 0. Ağ geçidinden %05 5xx (yukarı akış hariç).
Güvenlik politikaları: TLS ile taleplerin %100'ü; 0 gizli sızıntı olayları; MTTR güvenlik açığı WAF kuralları ≤ 24 saat.

17) Uygulama kontrol listesi

  • Mimari harita: kenar> BFF> mesh, etki alanlarının/yönlendirmelerin listesi.
  • TLS/mTLS, JWKS rotasyonu, KMS/Vault sırlar.
  • OAuth2/OIDC, kapsamlar/iddialar, ABAC/OPA.
  • Oran/kotalar, devre kesici, yeniden deneme/geri alma, idempotency.
  • OpenAPI/JSON Schema doğrulayıcıları, gRPC/REST/GraphQL dönüşümleri.
  • WAF/DDoS/bot profili, CORS/CSP.
  • Webhook güvenliği: HMAC, anti-replay, allow-list.
  • Günlükler/metrikler/yollar; Erişim/değişim denetimi.
  • GitOps/policy-as-code; kanarya hesaplamaları; DR planı.
  • PCI/GDPR kontrolü: maskeleme, retentions, DSAR prosedürleri.

18) Sık yapılan hatalar

Ağ geçidi yapılandırmasında/günlüklerinde sırların saklanması.
Global "içinde CORS/güven tüm 'Kökeni'.
Idempotence ve adil zaman aşımı eksikliği - çiftler ve çığlar.
Ağ geçidi eklentilerinde authN ve iş mantığını karıştırma.
JWKS rotasyonu yok ve çocuk "sıkışmış" anahtarlar.
İz korelasyonu olmadan gözlemlenebilirlik - kör RCA.

Özet

Gateway API sadece bir ters proxy değil, aynı zamanda performans, uyumluluk ve para kazanmayı destekleyen bir politika ve güvenlik platformudur. Zero-Trust oluşturun, şemalarla sözleşmeleri düzeltin, SLO aracılığıyla trafiği yönetin, GitOps ve kod olarak ilke aracılığıyla yapılandırmaları otomatikleştirin. O zaman geçit, mimarinizin sabit bir "kenarı'olacak ve dar bir boyun olmayacaktır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.