Como o APISIX Conecta a Lacuna Entre a DMZ e as Redes Internas?

January 28, 2024

Technology

DMZ, ou Zona Desmilitarizada, serve como uma zona de rede segura estrategicamente posicionada entre as redes internas e externas (comumente a Internet). Ela atua como uma salvaguarda para hospedar serviços ou recursos que não são totalmente confiáveis, fortalecendo assim a segurança geral da rede. Seu objetivo principal é segregar a comunicação entre a rede interna, que frequentemente contém dados e recursos sensíveis, e a rede externa. Ao mesmo tempo, ela acomoda serviços ou aplicativos que exigem interação com a rede externa.

Dentro da DMZ, é possível implantar servidores públicos (por exemplo, servidores web, servidores de e-mail, servidores DNS) ou servidores proxy. Esses servidores se comunicam com a rede externa, mas não necessitam de acesso direto aos recursos da rede interna. Colocar esses serviços públicos na DMZ reduz efetivamente o risco para a rede interna. Mesmo que invasores consigam violar a DMZ, eles enfrentam obstáculos adicionais para acessar dados sensíveis da rede interna.

Para facilitar o acesso seguro entre a DMZ e a rede interna, o APISIX pode ser utilizado para gerenciar convenientemente as chamadas de API. Dois cenários de aplicação (nos setores de manufatura e finanças) serão apresentados a seguir.

Cenário Um: Um Fabricante de Celulares

DMZ: Aberta para a rede externa;

Zona Geral: Completamente isolada da rede externa, sem capacidade de acessar ou ser acessada pela rede externa.

O sistema de gateway existente não é apenas um gateway de tráfego norte-sul; ele integra tanto o tráfego norte-sul quanto leste-oeste.

As solicitações de tráfego se manifestam principalmente nos seguintes quatro cenários:

  • Clássico Norte-Sul: O tráfego da rede externa atravessa o gateway da DMZ, depois é roteado para o gateway da Zona Geral dentro do domínio local, eventualmente alcançando os serviços de backend.

  • Encaminhamento Interdomínio: O tráfego da rede externa navega pelo gateway da DMZ, percebendo que o serviço de backend está localizado fora do domínio local. Ele atravessa a rede de backbone interna para alcançar o gateway da Zona Geral dentro do domínio do backend antes de finalmente alcançar o serviço de backend.

  • Leste-Oeste: Um aplicativo de backend (Região A) chama uma interface de outro aplicativo (Região B) (representado aqui como um cenário de invocação entre domínios). Após passar pelo gateway na Zona Geral do aplicativo (Região A), ele é encaminhado para o gateway na Zona Geral do aplicativo (Região B) antes de alcançar o aplicativo correspondente.

  • Chamando Serviços de Rede Externa: Serviços de backend precisam acessar serviços de terceiros (Taobao, JD, SF Express, etc.). Após passar pelo gateway da Zona Geral local, a solicitação é encaminhada para o gateway da DMZ e subsequentemente direcionada para o serviço de terceiros.

DMZ_1_ENG

Cenário Dois: Uma Empresa Financeira

DMZ_2_ENG

DMZ de Rede Externa de Produção: Aberta para a rede externa;

Rede Interna de Produção: Completamente isolada da rede externa, e todo o tráfego deve passar pelo gateway para gerenciamento.

Os principais objetivos do cliente com o APISIX giram em torno de abordar os seguintes aspectos-chave:

Necessidades de Supervisão: Para cumprir com os padrões regulatórios, o cliente busca a capacidade de registrar e auditar completamente todas as chamadas de microsserviços ao acessar serviços internos pela rede externa.

Gerenciamento Robusto de Serviços: Garantir autenticação rigorosa e implementar medidas de limitação de tráfego para cada módulo de microsserviço é um aspecto crucial dos requisitos de gerenciamento de serviços do cliente.

Crescimento dos Negócios: O cliente visa resolver desafios na expansão dos negócios, particularmente abordando a necessidade de comunicação entre microsserviços em diferentes domínios ou equipes de negócios.

Gestão Holística: À medida que o número de microsserviços cresce, o cliente reconhece a necessidade de abordar o impacto significativo do aumento da complexidade da cadeia de chamadas na estabilidade geral dos negócios.

Perspectivas Futuras: Olhando para a transformação de aplicações em nuvem, o cliente destaca o papel fundamental de um gateway de serviço no processo de transformação de aplicações em nuvem.

Resumo

Em resumo, a DMZ desempenha um papel fundamental na segurança da rede, atuando como uma barreira entre as redes internas e externas. Sua função é proteger dados e recursos sensíveis enquanto facilita interações externas essenciais. Utilizar sistemas de gateway contemporâneos e ferramentas de gerenciamento de API melhora o gerenciamento eficiente e a segurança do tráfego de rede, atendendo às necessidades de segurança e regulatórias em diversos setores. Seja para um fabricante de celulares ou uma instituição financeira, empregar essas tecnologias garante a segurança da rede e a estabilidade operacional, ao mesmo tempo em que atende às demandas do desenvolvimento futuro.

Para saber mais sobre soluções de gerenciamento de API, você pode entrar em contato com API7.ai.

Tags:
APISIX Basics
DMZ