网御星云可信API代理系统_API网关_入口安全网关

申请试用

网御星云可信API代理系统

网御可信API代理系统（俗称：API网关），产品独立于应用系统前、后置API微服务组件，是数据域一系列微服务集合的入口安全网关。产品可以与零信任体系安全联动，根据授权提供API级的应用安全防护。

立即咨询

首页 > 产品中心 > 网络安全 > 网御星云可信API代理系统

技术背景：业务应用多样化需求 icon

大数据、云计算时代单纯基于安全隔离的安防机制在某些场景下遭遇应用多样化天花板。随着高实时性的请求与用户访问业增多，需要探索一种新的主、客体跨域交互方案与传统基于数据库、文件安全隔离交互方案互补。

新技术探索—基于零信任的用户访问方案 icon

以网络边界防护为主转移到以身份认证为中心，结合业务安全访问控制、持续信任评估、动态访问控制构建“零信任”安全访问架构。

逻辑身份认证
为网络中的人、设备、应用都赋予逻辑身份，并基于身份进行细粒度的权限设置和判定。

业务安全访问
所有的访问请求（应用、接口等）都应该被认证、授权和加密。

持续信任评估
对终端、用户等访问主体进行持续风险感知和信任评估。

权限动态控制
访问权限不是静态的，而是根据主、客体属性、环境属性和持续信任评估结果进行动态赋权。

新技术探索—基于API网关构建开放API平台 icon

引入API网关产品通过反向代理、国密通道、SSL 卸载等技术实现内外隔离，将数据资源和业务能力以统一的Restful API服务形式对外发布，通过构建开放API平台服务更多的用户，安全高效。

产品概述

网御可信API代理系统（俗称：API网关），产品独立于应用系统前、后置API微服务组件，是数据域一系列微服务集合的入口安全网关。产品可以与零信任体系安全联动，根据授权提供API级的应用安全防护。可信API代理系统是分布式系统中保护内部服务的一道安全屏障，它可以提供高性能、高可用的API托管服务，帮助应用服务的开发人员便捷地对外提供服务，而不用考虑安全控制、流量控制、审计日志等问题。

联动部署

可用于零信任用户访问链路，部署于应用系统前、后置之间，与 “零信任” 体系安全联动根据授权提供API级的应用安全防护。

独立部署

通过反向代理、负载均衡、访问控制等机制实现API 内、外隔离，构建开放 API平台，将后端数据资源以统一的Restful API 接口形式对外发布。

产品架构

可信API代理系统在软件架构设计层面可分为：驱动层、业务承载层和服务层。

产品主要功能特点

访问控制

可信API代理系统具备多维度访问控制策略。提供基于源IP白名单访问控策略。可提取访问主体、客体信息与预定义访问控制策略碰撞自动触发相关访问控制机制。支持与零信任体系联动，在接收到的主体环境安全状态变化是可执行相关策略撤销当前会话。

代理转发

产品可支持HTTP/HTTPS代理转发，HTTP请求的方式很多，API网关会根据预先注册好的HTTP请求规则来完成代理转发。可支持的HTTP请求方式有Get、Put、Patch、Delete、Post等。

安全通道

支持TLS协议、支持国密算法，可以对所代理的API调用进行全流量加密从而保证API访问通道安全，具备SSL卸载功能。

服务路由

产品可根据应用系统前、后置API接口特点配置安全、高效的路由服务规则，具备服务鉴权、资源隔离和服务灰度路由机制。

限流控制

产品内置请求服务流量控制机制，支持时、分、秒等细粒度的流量阈值配置，确保数据域后置服务稳定运行。

熔断处理

产品内置API服务调用超时熔断机制以保证请求与响应高时效。

超时熔断

调用服务超时API代理系统将暂停服务请求并能够在一定时间后自动恢复。

错误熔断

API调用服务错误率超阀值，API代理系统暂停服务请求并能够在一定时间后自动恢复。

高可用性

可信API代理系统支持企业级高可用集群部署，支持后置服务资源负载均衡调度。产品对于同类服务资源可以自动轮询服务实例的可用性，自动选择最优的API代理访问方案。

日志审计

可信API代理系统具备详细的操作审计和服务访问审计功能。审计日志可以在本地长时间保存，也可根据需要上报给第三方日志审计系统。

操作审计

可记录操作用户、操作时间、访问IP、操作事件、操作状态、操作详情，支持关键操作审计日志检索。

访问审计

记录各代理服务标示、访问IP、访问时间、流量以及响应状态等信息，支持日志检索。

其它功能-状态监控

产品具备详细的状态监控功能，可直观统计展示当前业务系统运行状态。

产品优势特点

高安全
采用安全加固系统实现进程级可信，内置国密卡支持国密算法。

高可用
支持企业级高可用集群部署，支持API版本灰度发布。

易扩展
对新增应用可根据需求灵活定制发布新的API服务路由规则。

可联动
支持与可信代理控制服务等第三方安全产品联动部署，可用于“零信任”用户安全访问解决方案。

产品资质

已有资质包括软著、销售许可、可信计算模块使用授权（含可信计算模块商密型号证书）。

公安大数据安全访问平台解决方案 icon

可信API代理系统部署于应用系统前、后置之间，可根据零信任体系授权为安全访问平台提供API级安全防护，是安全访问平台用户访问链路的核心安全中间件产品。

可信API代理系统在该方案中的价值 icon

可信API代理系统根据零信任授权实现细粒度动态访问控制。

金融行业-什么是开放银行？ icon

银行使用开放API、共享数据、产品和服务，使第三方开发人员能够在金融机构周围构建应用系统和服务——维基百科开放银行是一种平台化的商用模式，通过与商业生态系统共享数据、算法、交易、流程和其它业务功能，为商业生态系统的客户、员工、第三方开发者、金融科技公司、供应商和其它合作伙伴提供服务，使银行创造出新的价值，构建出新的核心能力——Gartner

金融行业-开发银行技术模型 icon

目前业界开放银行大多是基于API网关构建的开放API平台实现。

金融行业-银行业开放趋势 icon

银行开放平台发展历程：银行业正经历由传统银企直联向API银行、智能化开放平台的转型期，各银行正致力于通过服务与互联网场景的结合将银行网点开到App中。政策层面：《网上银行系统信息安全通用规范JR/T 068—2020 》、《银行业商业银行应用程序接口安全管理规范JR/T 0185—2020 》的发布分别安全和技术层面为银行业构建开放平台创造条件。

金融行业-银行业开放历程 icon

银行开放平台始于2013年的中国银行开放平台1.0版，2018年迅速升温被称为“中国开放银行元年”，2019年大量银行启动相关工作，2020年初银行业相关API接口规范下发，进一步规范催化银行业开放API平台建设。

金融行业—我司开放银行安全防护解决方案 icon

基于API网关构建可信开放API平台解决方案。解决方案：通过部署API网关把银行数据中台以标准API接口形式开放出来给第三方用户，结合防火墙、入侵检测等第三方网络安全设备，可以形成从网络级到微服务接口级不同粒度纵深访问控制体系，有效保护内部应用的安全。

金融行业——开放银行方案架构简化图 icon

可以构建统一API开放平台，也可以根据不同开放对象构建相对独立的开放平台。

金融行业—开放银行API接口详解 icon

根据《银行业商业银行应用程序接口安全管理规范JR/T 0185—2020 》，商业银行使用的 API 类型可分为内部 API、企业定制 API 与外部 API 三种类型，其中外部API主要面向互联网应用需要重点防护。

金融行业—开放银行API安全控制详解 icon

开放API平台安全控制流程。

用户身份验证
访问时通过认证和授权，验证通过生成token，根据token访问。

合作方身份验证
对合作方会通过APP ID 口令以及证书等确认开发者身份。

通讯及数据安全控制
使用HTTPS协议传输，对传输的数据，进行全文或关键字段进行国密加解密处理确保通道安全。

应用安全控制
API平台通过APP_ID、口令、证书以及访问主客体标识等做多维度API接口访问控制。 HTTPS反向代理完成API请求。

金融行业—开放银行API平台优势特点 icon

开放银行API平台优势特点小结。1、安全：API网关作为反向代理服务器可隐藏真实服务端，其内置的主、客体识别及流控机制可有效保护服务端安全。2、合规：API网关支持国密完全满足《网上银行系统信息安全通用规范》(JR/T 0068-2020)国密的要求。3、高效：API网关根据预定义服务路由规则代理转发数据不落地，时延仅为毫秒级，支持负载均衡可满足大通量高实时性业务场景需求。