كيف يعمل APISIX على سد الفجوة بين DMZ والشبكات الداخلية؟
January 28, 2024
DMZ، أو المنطقة المنزوعة السلاح، تعمل كمنطقة شبكة آمنة موضوعة بشكل استراتيجي بين الشبكات الداخلية والخارجية (عادة الإنترنت). تعمل كحاجز لحماية خدمات أو موارد غير موثوقة تمامًا، مما يعزز أمان الشبكة بشكل عام. هدفها الرئيسي هو فصل الاتصال بين الشبكة الداخلية، التي تحتوي غالبًا على بيانات وموارد حساسة، والشبكة الخارجية. في نفس الوقت، تتيح استضافة خدمات أو تطبيقات تتطلب التفاعل مع الشبكة الخارجية.
في DMZ، يمكن نشر خوادم عامة (مثل خوادم الويب، خوادم البريد، خوادم DNS) أو خوادم وكيلة. هذه الخوادم تتفاعل مع الشبكة الخارجية ولكنها لا تحتاج إلى وصول مباشر إلى موارد الشبكة الداخلية. وضع هذه الخدمات العامة في DMZ يقلل بشكل فعال من المخاطر على الشبكة الداخلية. حتى إذا تمكن المهاجمون من اختراق DMZ، فإنهم يواجهون عقبات إضافية للوصول إلى البيانات الحساسة في الشبكة الداخلية.
لتسهيل الوصول الآمن بين DMZ والشبكة الداخلية، يمكن استخدام APISIX لإدارة استدعاءات API بشكل ملائم. سيتم عرض سيناريوهين تطبيقيين (في قطاعي التصنيع والتمويل) أدناه.
السيناريو الأول: شركة تصنيع هواتف محمولة
DMZ: مفتوحة للشبكة الخارجية؛
المنطقة العامة: معزولة تمامًا عن الشبكة الخارجية، ولا يمكن الوصول إليها أو الوصول منها إلى الشبكة الخارجية.
نظام البوابة الحالي ليس مجرد بوابة لحركة المرور الشمالية-الجنوبية؛ بل يدمج حركة المرور الشمالية-الجنوبية والشرقية-الغربية.
تظهر طلبات حركة المرور بشكل رئيسي في السيناريوهات الأربعة التالية:
-
الشمالية-الجنوبية الكلاسيكية: تمر حركة مرور الشبكة الخارجية عبر بوابة DMZ، ثم يتم توجيهها إلى بوابة المنطقة العامة داخل النطاق المحلي، وأخيرًا تصل إلى الخدمات الخلفية.
-
التوجيه بين النطاقات: تمر حركة مرور الشبكة الخارجية عبر بوابة DMZ، وتدرك أن الخدمة الخلفية تقع خارج النطاق المحلي. تمر عبر شبكة العمود الفقري الداخلية للوصول إلى بوابة المنطقة العامة داخل نطاق الخدمة الخلفية قبل الوصول إلى الخدمة الخلفية.
-
الشرقية-الغربية: تطبيق خلفي (المنطقة أ) يستدعي واجهة تطبيق آخر (المنطقة ب) (يصور هنا سيناريو استدعاء عبر النطاقات). بعد المرور عبر بوابة المنطقة العامة للتطبيق (المنطقة أ)، يتم توجيهه إلى بوابة المنطقة العامة للتطبيق (المنطقة ب) قبل الوصول إلى التطبيق المقصود.
-
استدعاء خدمات الشبكة الخارجية: تحتاج الخدمات الخلفية إلى الوصول إلى خدمات طرف ثالث (تاو باو، JD، SF Express، إلخ). بعد المرور عبر بوابة المنطقة العامة المحلية، يتم توجيه الطلب إلى بوابة DMZ ثم إلى خدمة الطرف الثالث.
السيناريو الثاني: شركة مالية
DMZ الشبكة الخارجية للإنتاج: مفتوحة للشبكة الخارجية؛
الشبكة الداخلية للإنتاج: معزولة تمامًا عن الشبكة الخارجية، ويجب أن تمر جميع حركات المرور عبر البوابة للإدارة.
أهداف العميل الرئيسية مع APISIX تتمحور حول معالجة الجوانب الرئيسية التالية:
احتياجات الرقابة: للامتثال للمعايير التنظيمية، يسعى العميل إلى القدرة على تسجيل ومراجعة جميع استدعاءات الخدمات المصغرة عند الوصول إلى الخدمات الداخلية عبر الشبكة الخارجية.
إدارة الخدمات القوية: يعد ضمان المصادقة الصارمة وتنفيذ إجراءات الحد من حركة المرور لكل وحدة خدمة مصغرة جانبًا مهمًا من متطلبات إدارة خدمات العميل.
النمو التجاري: يهدف العميل إلى حل التحديات في توسيع الأعمال، مع التركيز بشكل خاص على الحاجة إلى التواصل بين الخدمات المصغرة عبر مجالات الأعمال أو الفرق المختلفة.
الإدارة الشاملة: مع زيادة عدد الخدمات المصغرة، يقر العميل بالحاجة إلى معالجة التأثير الكبير لزيادة تعقيد سلسلة الاستدعاءات على استقرار الأعمال بشكل عام.
التطلعات المستقبلية: بالنظر إلى تحول التطبيقات إلى السحابة، يسلط العميل الضوء على الدور المحوري لبوابة الخدمة في دفع عملية تحول التطبيقات إلى السحابة.
الخلاصة
باختصار، تلعب DMZ دورًا محوريًا في أمان الشبكة، حيث تعمل كحاجز بين الشبكات الداخلية والخارجية. وظيفتها هي حماية البيانات والموارد الحساسة مع تسهيل التفاعلات الخارجية الأساسية. استخدام أنظمة البوابات الحديثة وأدوات إدارة API يعزز الإدارة الفعالة وأمان حركة مرور الشبكة، معالجة احتياجات الأمان والامتثال عبر الصناعات المختلفة. سواء لشركة تصنيع هواتف محمولة أو مؤسسة مالية، استخدام هذه التقنيات يضمن أمان الشبكة واستقرار العمليات، مع تلبية متطلبات التطوير المستقبلي.
لمعرفة المزيد عن حلول إدارة API، يمكنك الاتصال بـ API7.ai.