1. Giới thiệu giải pháp CA API Gateway
Giải pháp CA API Gateway sử dụng API (Application Programing Interface) để xây làm các khối nền tảng đồng thời kết nối dữ liệu, con người, hệ thống trong điều kiện đảm bảo cao nhất về bảo mật.
CA API Gateway đóng vai trò là một XML firewall và service gateway. Gateway kiểm soát các web service được xuất ra và được truy cập bởi các ứng dụng bên ngoài. Gateway cung cấp khả năng kiểm soát tại thời gian chạy ở mức dịch vụ như: xác thực (authentication), quyền hạn (authorization), chuyển đổi dữ liệu, bảo vệ chống lại các mối đe dọa, routing, chuyển đổi protocol, thực thi SLA, log…
Cấu hình và quản lý CA API Gateway thông qua giao diện Policy Manager. Gateway cũng hoạt động như một điểm tích hợp để mở rộng hệ thống hiện tại như PKI, định danh, SSO, liên kết định danh và cơ sở hạ tầng MOM cho các web service, đảm bảo có thể tận dụng các cơ sở hạ tầng về bảo mật và thông điệp cho web service và SOA.
2. Môi trường cài đặt
CA API Gateway có thể cài đặt trên nhiều môi trường khác nhau:
- Cài đặt trên server chạy Red Hat Enterprise Linux (RHEL), CentOS, SUSE Linux Enterprise Server, Oracle Solaris (x86 và SPARC).
- Thiết bị 64-bit (64-bit appliance)
- Máy ảo chạy dưới nền tảng VMware.
- các nền tảng cloud/ảo hóa (Amazon Web Service, Docker, Microsoft Azure Cloud).
3. Chức năng
3.1 Điều khiển truy cập (Access Control)
Gateway cung cấp những chức năng được xây dựng sẵn cho quản lý chính sách để kiểm soát truy cập. Khả năng kiểm soát truy cập của gateway cho phép thiết lập định danh người được quyền truy cập API, đảm bảo đúng giao thức khi thực hiện xác thực thông tin người dùng và thực hiện thiết lập các chính sách kiểm soát truy cập.
3.2 Cầu nối định danh (Identity Brokering)
Kiểm soát quyền truy cập vào các web service đều yêu cầu xác thực (authentication) và quyền hạn (authorization). Xác thực bao gồm việc xác thực thông tin người dùng, và quyền hạn để cấp quyền truy cập cho người dùng vào dịch vụ. Để quản lý nhất quán thì thông tin định danh thường được lưu trong cùng 1 domain. Quá trình xử lý xác thực và quyền hạn của một API đều dựa vào nhà cung cấp định danh (identity provider).
Việc định danh hiếm khi ra ngoài miền bảo mật cục bộ (local security domain). Điều này dẫn đến tạo ra các nơi lưu trữ định danh riêng biệt gọi là “identity silo”. Các identity silo là một vấn đề khó đối với các doanh nghiệp khi muốn tích hợp các ứng dụng trong các domain khác nhau.
CA API Gateway tạo ra cây cầu nối định danh cho tích hợp các ứng dụng thông qua các domain khác nhau.
* Gateway hỗ trợ kết nối tới nhiều nhà cung cấp định danh:
– Sử dụng cơ sở dữ liệu định danh sẵn có bên trong CA API Gateway.
– Gateway cấu hình sẵn 4 mẫu kết nối đến LDAP là: Oracle (Oracle Internet Directory), TivoliLDAP (Tivoli Access Manager), MSAD (Microsoft Active Directory), GenericLDAP
– Liên kết định danh (Federated Identity) cho phép một miền bảo mật có thể gửi yêu cầu chứa những thông tin đăng nhập từ một miền bảo mật khác.
3.3 Bảo vệ chống lại các mối đe dọa
Gateway quản lý bảo mật tập trung API đáp ứng các tiêu chuẩn nghiêm ngặt nhất về tuân thủ đồng thời giải quyết 10 nguy cơ bảo mật web được xác định bởi OWASP: Injection, Broken Authentication, XML External Entities, Broken Access Control, Security Misconfiguration, Cross-Site Scripting (XSS), Insecure Deserialization…
* Tự động bảo vệ : Ngoài việc sử dụng tính năng Threat Protection, CA API Gateway thực hiện một loạt các tính năng bảo vệ được tích hợp sẵn và xử lý tự động bao gồm:
- TCP/IP-Based Attacks
- Coercive Parsing and XML Bomb
- External Entity Attack
- Schema Poisoning
- WSDL Scanning
- XML Routing Detours
3.4 Thực thi cam kết chất lượng dịch vụ SLA (service level availability)
Gateway cung cấp các khả năng để đảm bảo cung cấp dịch vụ phù hợp với từng khách hàng. Cho phép cấu hình kiểm soát lượng truy cập của ứng dụng vào API, đảm bảo lượng truy cập không vượt quá quy định SLA với khách hàng.
3.5 Kiểm tra thông điệp và chuyển đổi
Kiểm tra thông điệp và chuyển đổi cho phép cấu hình chuyển đổi XML và kiểm tra lược đồ áp dụng cho các thông điệp dịch vụ. Với một số chức năng như: Chuyển đổi những message từ JSON sang XML, hoặc từ XML sang JSON, thêm hoặc xóa thành phần XML từ một thông điệp, xây dựng một chính sách tuân thủ các đặc tả của WS-Sercurity Policy,…
3.6 Định tuyến động
CA API Gateway có thể định tuyến một thông điệp đến nhiều máy chủ back-end, cho phép tạo ra các chiến lược định tuyến động tới một danh sách các địa chỉ IP. Các địa chỉ IP này được lưu trong một biến ngữ cảnh trong Gateway.
3.7 Caching
Cache có thể giúp xử lý trong nhiều tình huống có nút cổ chai trên một tài nguyên quan trọng. Cache thậm chí có thể giúp tránh tắc nghẽn CPU trong một số trường hợp nhất định.
Chúng ta có thể sử dụng bộ nhớ đệm để thực hiện tăng hiệu suất cho những xử lý tốn nhiều tài nguyên. Gateway hỗ trợ cung cấp thông tin trong bộ nhớ đệm thay vì phải xử lý để tạo ra thông tin mới.
3.8 Điều phối giao thức (Protocol orchestration).
Khi các doanh nghiệp phát triển chuyển sang mô hình doanh nghiệp mở thì nhu cầu kết nối dữ liệu và ứng dụng trên nhiều môi trường khác nhau – từ ứng dụng cũ đến cloud và mobile. Gateway với khả năng kết nối các ứng dụng này, cùng với việc quản lý danh tính, giao thức và dữ liệu của chúng thành một giải pháp liền mạch.