API网关与服务网格：连接API管理与零信任架构

在过去的十年里，Kongers见证了数百家公司采用全生命周期API管理平台，并与幕后人员“API部落”紧密合作。API部落通常需要应对异构平台、基础设施和云的复杂环境，同时还要管理API平台及遗留中间件平台。这些挑战使得API管理变得更加复杂。

此外，安全团队经常向API部落提出符合SOC2、GDPR或PSD2等安全标准的要求。而零信任架构作为一种新兴的安全范式，正逐渐成为企业IT项目和路线图中的核心。首席信息安全官们的呼吁终于得到了高层管理人员的重视，推动了零信任方法的实施。

在此背景下，服务网格平台凭借流量控制、可观察性和零信任支持，成为解决这些问题的关键工具。现在是时候通过无缝的方式连接企业API网关和服务网格平台，从而实现未来的数字化转型。

概述

在保护服务安全时，根据不同的上下文可以采用多种安全策略。通常，最终用户到API的调用会受到身份验证和授权策略的约束。但对于服务之间的连接问题，该如何解决呢？

根据连接的粒度，可以选择使用内部网关或通过服务网格平台支持的直接连接场景。通过Kong Gateway和Kong Mesh的结合，您可以灵活地混合使用两种网关，并在需要的地方强制执行API治理。例如，Kong Gateway可以在平台边缘应用身份验证、授权、速率限制和分析，而Kong Mesh则可以对东西向流量实施身份验证、授权和跟踪。

Kong Gateway与Kong Mesh的结合不仅支持跨应用程序的连接，还能处理跨区域的流量，进一步提升了企业的灵活性和安全性。

不同区域的关注点

典型的API网关部署架构如下所示：

企业API网关通常部署在公共区域，位于其他私有区域的前端。这些区域之间的安全通常由防火墙强制执行。然而，传统防火墙的规则更改过程繁琐，且通常允许访问整个目标子网，这种方式已不符合零信任的最小特权原则。

为了更精细地保护东西向流量，建议使用服务网格平台。服务网格解决方案自带网关，可以执行第一轮授权检查。

服务网格与API网关的关系

服务网格平台并不是为了取代企业API网关，而是作为微服务架构和分布式应用程序的新型构建模块。API全生命周期管理平台仍然是不可或缺的，例如API货币化功能就需要依赖这些平台生成的指标。

网关的优化部署

在部署Kong Mesh时，客户通常会发现需要结合多个网关。一个常见的模式是在每个平台或区域的边缘使用“微网关”。微网关可以验证传入请求，例如限制访问仅允许通过企业API网关的流量。

为了确保客户端在进入网格之前通过企业API网关，您可以在API网关级别使用OpenID Connect等标准进行身份验证，或者利用服务网格内的SPIFFE架构实现。

跨越网络边界

南北向流量

内部网关的一个典型用法是信任企业API网关。例如，当客户端请求通过受信任的企业网关到达内部网关时，可以允许流量通过。

Kong Gateway Enterprise提供了丰富的即用型插件，其中包括身份验证插件。通常，Kong Gateway会配置“OpenID Connect”插件来对最终用户进行身份验证，并生成一个JWT（JSON Web Token）作为标头，携带用户身份信息。

JWT可以直接传递给上游服务（如Kong Mesh网关），或者在转发请求之前重新签名以增强安全性。

东西向流量

当应用程序分布在多个集群中时，服务到服务的通信成为主要的流量类型。这些连接不一定需要通过企业网关，但仍然可以利用服务网格的功能，如加密、零信任、监控和流量管理。

以下是一个网格跨越多个集群或区域的示例：

将应用程序隔离到不同的网格中是一种良好的实践，这种方式不仅可以实现第一级隔离，还能有效降低成本。

逐步实施零信任

在迈向零信任的过程中，建议逐步推进。从平台范围的策略开始，逐步过渡到应用程序范围的策略，最终实现细粒度的微服务范围策略。

Kong提供了多层次的支持：

• Kong Konnect：针对环境或部门范围的策略。
• Kong Mesh：支持跨多个平台的应用程序范围策略。
• Kong Mesh TrafficPermissions：适用于微服务的细粒度策略。

Kong Mesh的通用数据平面能够支持各种工作负载，包括数据库、虚拟机和裸机服务器，为企业提供了灵活的部署选择。

通过结合API网关和服务网格平台，企业可以在实现零信任架构的同时，优化API管理和服务间通信。这种无缝集成不仅提升了安全性，还为未来的数字化转型奠定了坚实的基础。

原文链接: https://konghq.com/blog/enterprise/api-gateway-service-mesh-and-zero-trust