網御可信API代理系統產品

一、需求分析

近些年來，隨著移動應用系統以及企業間數據共享的興起，后臺服務支持的對象從以前單一的Web應用擴展到多種使用場景。目前絕大多數政府、企業事業等都已經走在數字化轉型的路上，API已經成為政府、企事業等單位數據共享業務的核心載體，API生態鏈已經在全球范圍覆蓋。從發展趨勢看API的發展趨向于簡潔、集成、規范化，隨著API數量的增多相關應用系統也面臨著應用與安全的雙重挑戰。

二、產品簡介

網御可信API代理系統 【俗稱：API網關】，產品獨立于應用系統前、后置API微服務組件，是數據域一系列微服務集合的入口安全網關。產品可以與零信任體系安全聯動，根據授權提供API級的應用安全防護。

可信API代理系統是分布式系統中保護內部服務的一道安全屏障，它可以提供高性能、高可用的API托管服務，幫助應用服務的開發人員便捷地對外提供服務，而不用考慮安全控制、流量控制、審計日志等問題。

三、核心功能

訪問控制：支持多維度的前端用戶接入認證訪問控制策略，包括Basic認證、 Token認證、 IP域認證等，只有通過認證的客戶端才能進一步訪問API代理系統發布的服務。

代理轉發：產品支持常見的HTTP請求方式與API封裝協議，支持的HTTP請求方式包括Get、Put、Patch、Delete、Post等。

國密通道：產品支持TLS協議、支持國密算法和國際算法，可以對所代理的API調用進行全流量加密，從而保證API訪問通道安全，具備SSL卸載功能。

限流熔斷：可信API代理系統內置API服務調用超時限流熔斷機制，可以保證請求與響應高時效。

負載均衡：內置負載均衡調度機制，不需要借助第三方負載均衡器即可實現多臺設備的負載均衡調度。產品可通過內置負載調度引擎自動輪詢服務實例的可用性，自動選擇最優的API 代理訪問方案。

日志審計：產品具備詳細的日志審計功能，可記錄各代理服務標示、訪問IP、訪問時間、流量以及響應狀態等信息。

四、產品優勢

高安全：產品采用安全加固操作系統，軟硬一體設計可實現進程級可信，兼容支持國密和國際算法。

高可用：產品支持企業級高可用集群部署，支持多套設備堆疊，可平滑升級擴容，具備API版本灰度能力。

易擴展：產品可兼容業界主流應用系統，對新增應用可根據需求靈活定制發布新的API服務路由規則。

可聯動：支持與可信代理控制服務等第三方安全產品聯動部署，可用于“零信任”用戶安全訪問解決方案。

五、典型應用

可信API代理產品是新一代基于“零信任”體系安全訪問平臺用戶訪問鏈路的核心安全產品之一，產品位于應用前、后置之間，可以與零信任體系聯動，根據授權提供API級細粒度訪問控制。

圖2可信API代理系統在新一代安全訪問平臺用戶訪問鏈路中的典型應用

通過在應用系統中引入可信API代理系統，可實現統一入口、統一安全管理，使后端各應用系統更輕量化、更敏捷化，可信API代理系統的國密通道和服務路由機制可極大提高應用系統的安全性。