APIClarity如何解決API安全性的重構?

banq發表於2021-10-29
API

API 重構是透過觀察進出該 API 的流量來構建 API 規範。如果做得好,API 重構可讓您瞭解微服務使用的 API,並使您能夠評估 API 安全風險。構建規範後,相同的工具可以將執行時流量與規範進行比較以檢測偏差。
API 規範的關鍵元件包括:
  • 引數檢測(路徑、頭引數、查詢引數、請求體引數和cookies)
  • 物件引用
  • 檔案傳輸
  • 安全定義

理想情況下,API 重建工具需要以符合 OpenAPI 規範 (OAS) 的格式量化這些元件,而不會給應用程式帶來不必要的開銷或複雜性。在 APIClarity 之前,有幾個工具可以部分解決 API 重建用例,但沒有全面的開源解決方案。API 可見性的其他一些工具包括:
  • Optic — 一種可擴充套件的、與語言無關的開源工具。它對於在部署之前記錄、審查和批准 API 很有用。
  • SwaggerHub — 一種將 API 流量轉換為 OAS 的流行工具。
  • CloudVector API Shark — 可以監控多服務環境並從執行時流量生成 OAS 規範。
  • Imvision — 適用於多服務環境的強大 API 可見性和文件工具。

Optic 不是為監控多服務環境而構建的,並且 SwaggerHub 不與執行時環境整合。API Shark 和 Imvision 都不是開源的。以上工具都不能完全滿足API重構的需求。
 
APIClarity提供了一個強大的、開源的、可擴充套件的多服務 API 可見性和重建解決方案。它使用服務網格框架輕鬆整合到現有環境中。使用 APIClarity,開發人員可以匯入 API 規範或根據觀察重建 API 規範。開發人員還可以實時監控所有 API 流量,無需更改程式碼或工作負載。
作為一個開源專案,APIClarity 不斷髮展並接受來自開發者社群的貢獻。
工作原理:
  • APIClarity 部署在現有的 K8s 叢集中
  • API 流量從叢集中的 pod 映象到 APIClarity 的 OpenAPI 規範引擎
  • 規範引擎監控內部和外部流量並記錄 API 事件
  • APIClarity根據API流量學習規範,構建API規範
  • 使用者審查、編輯和批准規範
  • APIClarity 會提醒使用者注意安全問題或觀察到的 API 與批准的 API 規範之間是否存在任何偏差

詳細配置見原文
 

相關文章