¿Cómo APISIX cierra la brecha entre la DMZ y las redes internas?

January 28, 2024

Technology

DMZ, o Zona Desmilitarizada, sirve como una zona de red segura estratégicamente posicionada entre las redes internas y externas (comúnmente Internet). Actúa como una salvaguarda para alojar servicios o recursos que no son completamente confiables, fortaleciendo así la seguridad general de la red. Su objetivo principal es segregar la comunicación entre la red interna, que a menudo contiene datos y recursos sensibles, y la red externa. Al mismo tiempo, acomoda servicios o aplicaciones que requieren interacción con la red externa.

Dentro de la DMZ, se pueden desplegar servidores públicos (por ejemplo, servidores web, servidores de correo, servidores DNS) o servidores proxy. Estos servidores interactúan con la red externa pero no necesitan acceso directo a los recursos de la red interna. Colocar estos servicios públicos en la DMZ reduce efectivamente el riesgo para la red interna. Incluso si los atacantes violan la DMZ, se enfrentan a obstáculos adicionales para acceder a los datos sensibles de la red interna.

Para facilitar el acceso seguro entre la DMZ y la red interna, se puede utilizar APISIX para gestionar convenientemente las llamadas API. A continuación, se presentarán dos escenarios de aplicación (en los sectores de manufactura y finanzas).

Escenario Uno: Un Fabricante de Teléfonos Móviles

DMZ: Abierta a la red externa;

Zona General: Completamente aislada de la red externa, ni puede acceder ni ser accedida por la red externa.

El sistema de puerta de enlace existente no es simplemente una puerta de enlace de tráfico norte-sur; más bien, integra tanto el tráfico norte-sur como este-oeste.

Las solicitudes de tráfico se manifiestan principalmente en los siguientes cuatro escenarios:

  • Clásico Norte-Sur: El tráfico de la red externa atraviesa la puerta de enlace de la DMZ, luego se dirige a la puerta de enlace de la Zona General dentro del dominio local, y finalmente llega a los servicios backend.

  • Reenvío Interdominio: El tráfico de la red externa navega a través de la puerta de enlace de la DMZ, dándose cuenta de que el servicio backend está ubicado fuera del dominio local. Atraviesa la red troncal interna para llegar a la puerta de enlace de la Zona General dentro del dominio del backend antes de llegar finalmente al servicio backend.

  • Este-Oeste: Una aplicación backend (Región A) llama a una interfaz de otra aplicación (Región B) (representada aquí como un escenario de invocación entre dominios). Después de pasar por la puerta de enlace en la Zona General de la aplicación (Región A), se reenvía a la puerta de enlace en la Zona General de la aplicación (Región B) antes de llegar a la aplicación correspondiente.

  • Llamadas a Servicios de Red Externa: Los servicios backend necesitan acceder a servicios de terceros (Taobao, JD, SF Express, etc.). Después de pasar por la puerta de enlace de la Zona General local, la solicitud se reenvía a la puerta de enlace de la DMZ y posteriormente se dirige al servicio de terceros.

DMZ_1_ENG

Escenario Dos: Una Empresa Financiera

DMZ_2_ENG

DMZ de Red Externa de Producción: Abierta a la red externa;

Red Interna de Producción: Completamente aislada de la red externa, y todo el tráfico debe pasar por la puerta de enlace para su gestión.

Los principales objetivos del cliente con APISIX giran en torno a abordar los siguientes aspectos clave:

Necesidades de Supervisión: Para cumplir con los estándares regulatorios, el cliente busca la capacidad de registrar y auditar exhaustivamente todas las llamadas de microservicios al acceder a servicios internos a través de la red externa.

Gestión Robusta de Servicios: Garantizar una autenticación estricta e implementar medidas de limitación de tráfico para cada módulo de microservicios es un aspecto crucial de los requisitos de gestión de servicios del cliente.

Crecimiento del Negocio: El cliente tiene como objetivo resolver los desafíos en la expansión del negocio, abordando especialmente la necesidad de comunicación entre microservicios en diferentes dominios de negocio o equipos.

Gestión Holística: A medida que crece el número de microservicios, el cliente reconoce la necesidad de abordar el impacto significativo de la creciente complejidad de la cadena de llamadas en la estabilidad general del negocio.

Perspectivas Futuras: Mirando hacia la transformación de la nube de las aplicaciones, el cliente destaca el papel fundamental de una puerta de enlace de servicios en impulsar el proceso de nube de aplicaciones.

Resumen

En resumen, la DMZ juega un papel fundamental en la seguridad de la red, actuando como una barrera entre las redes internas y externas. Su función es salvaguardar datos y recursos sensibles mientras facilita interacciones externas esenciales. Utilizar sistemas de puerta de enlace contemporáneos y herramientas de gestión de API mejora la gestión eficiente y la seguridad del tráfico de red, abordando las necesidades de seguridad y regulación en diversas industrias. Ya sea para un fabricante de teléfonos móviles o una institución financiera, emplear estas tecnologías asegura la seguridad de la red y la estabilidad operativa, al mismo tiempo que satisface las demandas del desarrollo futuro.

Para obtener más información sobre soluciones de gestión de API, puede contactar a API7.ai.

Tags:
APISIX Basics
DMZ