我们非常高兴地宣布 API7 企业版 3.6.0 版本的发布,该版本提供了增强的安全功能。变更内容包括支持为上游配置 mTLS、使用环境变量进行 SSO 配置以及在 API7 门户中使用 basic authentication 身份认证。此次发布还移除了运行时配置,以简化服务模板。
增强安全性:为上游配置 mTLS
API7 企业版现在支持在 API 网关和上游之间配置 mTLS,以增强安全性并防止未授权访问。
问题:
某些上游服务由于其高安全需求,需要严格访问控制。这意味着 API 网关必须对所有代理请求进行身份验证,以确保只有授权实体可以访问这些关键资源。
某些上游服务由于其固有的高安全性和敏感性,需要进行严格的访问控制。这些要求同样适用于 API 网关,所有代理的客户端请求都必须经过严格的认证。这确保了只有授权的实体才能访问这些关键资源,包括 API 网关。
解决方案:
API7 企业版 v3.6.0 为上游引入了增强的双向 TLS,这在零信任安全框架内通常用于认证用户、设备和服务器。它在保护 API 方面也起着关键作用。
这种双向证书验证确保了 API 网关和上游服务都能验证彼此的凭据,从而确保了只有授权的 API 请求才能安全地交换数据。
为了获得最大限度的灵活性,你可以利用 SSL 和 CA 证书来满足各种安全需求。相同的证书可以用于客户端-网关和网关-上游之间的通信,或者可以根据具体使用场景配置不同的证书。
请参阅 在 API7 企业版和上游之间配置 mTLS 的指南。
保护敏感数据:使用环境变量进行 SSO 配置
问题:
将敏感的 SSO 令牌直接嵌入 API7 企业版配置中可能会带来安全风险,因为这可能会将凭据暴露给未授权用户。这种做法还导致操作效率低下,因为更新或轮换令牌成为一个繁琐且容易出错的手动过程。
解决方案:
使用环境变量来存储 SSO 敏感数据(如令牌)提供了一个强大的解决方案。它将这些敏感凭据安全地存储并引用在应用程序的核心代码库之外,从而降低风险并简化维护。
API7 门户集成基本身份验证
问题:
API7 门户之前仅支持密钥身份验证来访问API资源。尽管有效,但这种单一方法限制了在具有不同安全需求的环境中工作的开发人员。现代开发通常涉及需要灵活访问控制和认证协议的 API。仅依赖一种方法限制了需要满足特定合规标准或与需要不同安全措施的系统集成的开发人员。这种不灵活性使在不同项目和安全上下文中高效管理 API 访问变得复杂。
解决方案:
我们在 API7 门户中引入了 basic authentication 身份验证作为可选项,可以与 key authentication 身份验证同时用于同一个 API 产品。
这使开发人员能够灵活地选择任一方法或其他任何有效的认证凭据来访问 API 资源,确保与需要不同认证协议的系统无缝集成,同时遵守更广泛的合规标准。
请参阅文档,了解如何使用 API7 门户,从 产品化你的服务 开始。
简化服务模板:移除运行时配置
为了提高服务模板在网关组之间的可重用性,我们从服务模板中移除了服务运行时配置。此重大变更简化了发布流程,而不会影响已发布的服务。
问题:
用户发现,在模板中或在发布过程中配置运行时设置(上游、主机、插件等)既繁琐又低效。由于这些设置不可重用,且需要频繁单独修改,使得整个过程效率低下。
解决方案:
通过从模板中移除运行时配置,我们使模板在网关组之间更具可重用性。发布流程现在更加简单,运行时设置单独处理,从而在保留现有已发布服务配置的同时,简化了你的工作流程。
请参阅更新后的 发布服务 指南。
开始使用 API7 企业版 v3.6.0
想了解更多?深入阅读我们的文档,获取更多技术细节。请参阅 API7 企业版 v3.6.0 发布说明。
可试用 API7 企业版 v3.6.0,如有任何疑问,请与我们联系!