什么是APISecOps？API安全中的关键角色 - Kong公司

在本文中，我们将深入探讨什么是APISecOps，包括其基本原理和相关角色。此外，我们还将API优先设计为何对APISecOps的成功至关重要。

简介

随着组织逐步转向多平台、混合云甚至多云解决方案（参见：CNCF 2021年度报告），API安全问题变得愈发复杂。这不禁让人思考：我们该如何以安全且高效的方式管理日益扩展的API生态系统？

为了解决这一问题，我们需要一种全面的API管理策略，使开发、治理和运营团队能够协同合作，以满足业务、安全和运营需求。企业通常需要以下几点：

• 确保API在生产环境中是安全的，并满足利益相关者的需求。
• 拥有高效、灵活且可靠的API发布流程。
• 确保所有API均已记录在案并清晰可查。

为此，转向APISecOps实践成为必然选择。

什么是APISecOps？

APISecOps是API设计、安全和操作的综合实践，围绕以下四个核心基础展开：

• 集中化：将API操作和库存集中到一个统一的控制平面中，无论使用何种云提供商或平台，所有API都可以统一管理。
• 治理：治理团队可以通过定义自定义的“策略即代码”来评估API规范，确保其符合安全标准。
• API优先设计：开发团队在编写代码之前，需先设计API，以确保与治理和业务利益相关者保持一致。这是所有自动化和文档的起点。
• GitOps：API规范作为文档、治理和API管理的一部分，应通过GitOps最佳实践进行管理，以提高流程的速度、弹性和可靠性。

下图展示了APISecOps解决方案的整体架构：

端到端APISecOps解决方案

APISecOps实践从API优先设计开始。开发人员通过API设计和测试套件中构建API规范。

完成治理测试后，生成的decK清单将自动同步到Kong Konnect，这是一个由Kong的decK CLI工具支持的集中式API管理平台。decK CLI专为API管道自动化设计，可声明式地管理Kong Konnect和Kong Gateway配置。

这一端到端交付流程展示了开发人员、治理团队和运营团队如何协作，并体现了APISecOps的四大核心原则。此外，每个API都关联着相应的微服务和策略，这些生命周期需要同步工作，以确保生产环境中的服务安全。

API、微服务和策略生命周期的整合

APISecOps、DevOps和PolicyOps生命周期的整合可以通过下图直观地展现：

政策操作

政策需要一个完整的生命周期，包括构建、测试和获得治理团队的批准。未经测试或审查的政策可能会对最终产品造成严重影响。因此，治理团队需在策略准备就绪后，将其纳入APISecOps生命周期。

APISecOps

APISecOps的流程包含多个测试阶段，尤其是“模拟”测试阶段。这一阶段为利益相关者提供了从业务、安全和运营角度验证API行为的机会，不仅增强了信心，还提升了生产力，避免开发人员浪费时间构建无用的代码。

DevOps（技术实践）

当所有利益相关者对计划充满信心时，DevOps实践开始实施。开发团队根据已批准的API规范构建后端代码，最终将完整的服务（包括API规范和支持代码）部署到生产环境中。

APISecOps中的协作与API优先设计

协作

团队协作是APISecOps成功的关键。开发人员、治理团队和运营团队缺一不可。糟糕的政策会导致API不安全；不完整的API文档会影响安全性；而开发不良的后端代码同样会带来安全隐患。

API优先设计

API优先设计是APISecOps的核心。尽管这一方法在初期可能显得复杂，但它能帮助团队回答以下关键问题：

• 治理：API在生产环境中是否安全？
• 业务/开发：API的功能是什么？是否有相关文档？
• 运营：API是否能够按预期运行？是否有操作文档？

结论

总而言之，APISecOps通过API优先设计打破了团队间的沟通障碍，显著提升了业务的整体生产力。我们探讨了如何将治理、API优先设计和GitOps整合到APISecOps战略中。然而，在多平台和混合云环境中，如何实现这一目标仍是一个挑战。

未来，我们将进一步讨论APISecOps在混合云解决方案中的集中化，以及Kong与Red Hat OpenShift策略的具体应用。

原文链接: https://konghq.com/blog/engineering/apisecops