API 接入零信任部署實踐指南

實施數字化轉型的公司有著明確的業(yè)務需求。這包括借助現代業(yè)務應用改善客戶體驗，采用敏捷實踐以超越市場競爭對手，以及利用市場優(yōu)勢創(chuàng)造新的收入來源。新型應用架構不僅可提高開發(fā)效率，而且集容器、微服務和 API 于一體，可幫助滿足這些需求。

對現代應用來說，安全性是現代應用敏捷性和上線時效性至關重要的一部分。企業(yè)已經開始考慮使用 WAAP 解決方案來應對 API 安全隱患，其中 OWASP API Top 10 是 API 安全的關鍵第一步防線，通過 Salt Security《State of API Security Report, Q3 2022》報告，說明近一半用戶安全團隊都沒有將 OWASP API 安全性前十列為重點領域，對于 OWASP API TOP 1 失效的對象級授權是防護的關鍵。

• 網絡零信任  Zero Trust Network Architecture

• 應用零信任  Zero Trust Application Access

通過訪問流程對應關系，安全加固需要在 External APIs 和 Internal APIs 做到 API 接入持續(xù)驗證，永不信任，確保接入應用的安全性。

F5 在 External APIs 和 Internal APIs 做到 API 接入持續(xù)驗證，永不信任，可以實現對接入控制權限限制，其中可以包括地位位置、URL、部門信息、情報信息，作為驗證的屬性閥值，保證接入應用的安全性。

當您對 API 流量實施身份驗證時，成功證明其身份的客戶端會從受信任的身份提供商那里獲得令牌，然后客戶端再為每個HTTP 請求提供訪問令牌。

在將請求傳遞給應用之前，通過 APM或者 NGINX Plus 會驗證令牌并提取在令牌中編碼的身份和其他數據（例如組成員資格），以確保對客戶端進行身份驗證和授權。

令牌得到驗證并且客戶端獲得訪問資源的授權后，請求就會被傳遞到應用服務器。驗證方法有很多種，其中使用 OpenID Connect（基于 OAUTH 2.0 協(xié)議構建）是一種流行的做法，它可以對 API 請求進行第三方身份驗證。