Как APISIX устраняет разрыв между DMZ и внутренними сетями?

DMZ, или Демилитаризованная зона, представляет собой защищенную сетевую зону, стратегически расположенную между внутренней и внешней сетями (обычно Интернетом). Она служит защитой для размещения сервисов или ресурсов, которые не полностью доверены, тем самым укрепляя общую сетевую безопасность. Ее основная цель — разделить коммуникацию между внутренней сетью, которая часто содержит конфиденциальные данные и ресурсы, и внешней сетью. Одновременно она позволяет размещать сервисы или приложения, требующие взаимодействия с внешней сетью.

В DMZ можно развернуть публичные серверы (например, веб-серверы, почтовые серверы, DNS-серверы) или прокси-серверы. Эти серверы взаимодействуют с внешней сетью, но не требуют прямого доступа к ресурсам внутренней сети. Размещение этих публичных сервисов в DMZ эффективно снижает риск для внутренней сети. Даже если злоумышленники проникнут в DMZ, они столкнутся с дополнительными препятствиями для доступа к конфиденциальным данным внутренней сети.

Для обеспечения безопасного доступа между DMZ и внутренней сетью можно использовать APISIX, чтобы удобно управлять вызовами API. Ниже будут представлены два сценария применения (в производственной и финансовой сферах).

Сценарий первый: Производитель мобильных телефонов

DMZ: Открыта для внешней сети;

Общая зона: Полностью изолирована от внешней сети, не может ни обращаться к внешней сети, ни быть доступной из нее.

Существующая система шлюза не является просто шлюзом для трафика "север-юг"; она интегрирует как трафик "север-юг", так и "восток-запад".

Запросы трафика в основном проявляются в следующих четырех сценариях:

• Классический "север-юг": Трафик из внешней сети проходит через шлюз DMZ, затем направляется на шлюз Общей зоны внутри локального домена и в конечном итоге достигает серверных служб.

• Междоменная пересылка: Трафик из внешней сети проходит через шлюз DMZ, обнаруживая, что серверная служба находится за пределами локального домена. Он проходит через внутреннюю магистральную сеть, чтобы достичь шлюза Общей зоны в домене серверной службы, прежде чем достичь серверной службы.

• "Восток-запад": Серверное приложение (Регион A) вызывает интерфейс другого приложения (Регион B) (здесь изображен сценарий междоменного вызова). После прохождения через шлюз в Общей зоне приложения (Регион A) запрос пересылается на шлюз в Общей зоне приложения (Регион B), прежде чем достичь соответствующего приложения.

• Вызов сервисов внешней сети: Серверные службы требуют доступа к сторонним сервисам (Taobao, JD, SF Express и т.д.). После прохождения через локальный шлюз Общей зоны запрос пересылается на шлюз DMZ и затем направляется на сторонний сервис.

Сценарий второй: Финансовая компания

DMZ внешней сети производства: Открыта для внешней сети;

Внутренняя сеть производства: Полностью изолирована от внешней сети, и весь трафик должен проходить через шлюз для управления.

Основные цели клиента с использованием APISIX сосредоточены на решении следующих ключевых аспектов:

Регуляторные требования: Для соответствия стандартам регулирования клиент стремится к возможности тщательно записывать и аудировать все вызовы микросервисов при доступе к внутренним сервисам через внешнюю сеть.

Надежное управление сервисами: Обеспечение строгой аутентификации и внедрение мер ограничения трафика для каждого модуля микросервисов является важным аспектом требований клиента к управлению сервисами.

Рост бизнеса: Клиент стремится решить проблемы расширения бизнеса, особенно необходимость взаимодействия между микросервисами в различных бизнес-доменах или командах.

Комплексное управление: По мере роста числа микросервисов клиент признает необходимость решения значительного влияния увеличения сложности цепочки вызовов на общую стабильность бизнеса.

Перспективы на будущее: Глядя вперед на облачную трансформацию приложений, клиент подчеркивает ключевую роль сервисного шлюза в процессе облачной трансформации приложений.

Итог

Подводя итог, DMZ играет ключевую роль в сетевой безопасности, выступая в качестве барьера между внутренней и внешней сетями. Ее функция заключается в защите конфиденциальных данных и ресурсов, одновременно обеспечивая необходимое внешнее взаимодействие. Использование современных систем шлюзов и инструментов управления API повышает эффективность управления и безопасность сетевого трафика, удовлетворяя требованиям безопасности и регулирования в различных отраслях. Будь то производитель мобильных телефонов или финансовая организация, применение этих технологий обеспечивает сетевую безопасность и стабильность операций, а также отвечает требованиям будущего развития.

Чтобы узнать больше о решениях для управления API, вы можете связаться с API7.ai.