密钥提供者
作为关键的基础设施组件,API 网关与各种上游服务交互并处理 API 流量,这可能涉及密码、令牌和 SSL 证书等敏感数据。必须妥善存储、加密、轮换和退役这些敏感信息,以确保系统安全。
用户可以直接在 API7 企业版中存储和管理这些密钥,API7 企业版将根据 FIPS 标准对其进行加密和存储。或者,他们可以将它们存储在第三方密钥管理器(如 HashiCorp Vault 或 AWS Secrets Manager)中,并通过变量在 API7 企业版中引用它们。
为什么使用密钥提供者
API7 企业版使用密钥提供者将密钥存储和管理与 API 网关解耦,从而增强整体安全性。目前,密钥提供者与 HashiCorp Vault 和 AWS Secrets Manager 集成。未来的版本将支持更多流行的密钥管理器,如 GCP Secret Manager。 密钥提供者对象包含特定密钥管理器的连接和身份验证信息:
用户可以将用于消费者身份验证的凭证或 HTTPS 请求期间使用的 SSL 证书等密钥存储在密钥管理器中。然后,这些密钥通过密钥提供者在 API7 企业版中进行集成和引用。此设置允许 API7 企业版安全地引用相应的密钥,例如验证消费者所需的密钥。
下图说明了消费者身份验证流程,其中密钥存储在密钥提供者中,API7 企业版在连接并验证身份后从密钥提供者检索密钥。此过程将密钥与 API 网关解耦。
关键功能
- 使用第三方密钥提供者存储敏感信息,将密钥与 API 网关解耦并增强安全性。
- 将外部存储的密钥作为变量引用,简化配置管理。
- 支持多个密钥提供者,以适应复杂的企业架构并统一密钥管理。
- 精确控制对敏感信息的访问,防止未经授权的使用和数据泄露。
用例
增强数据安全性
管理大量敏感信息是许多企业面临的重大挑战。API7 企业版通过与 HashiCorp Vault 和 AWS Secrets Manager 等第三方密钥提供者集成,提供了一种安全的解决方案。企业可以将敏感数据存储在这些第三方��平台上,并在 API7 企业版中将其作为变量引用,从而解耦 API 网关和密钥管理。这可以防止敏感信息暴露在系统配置中,极大地增强了数据安全性。此外,在专用管理平台上集中敏感数据和密钥可提高效率,启用审计跟踪,并允许灵活的访问控制。这有助于企业有效应对复杂的安全挑战。
API 网关的透明密钥轮换
在实施动态密钥检索机制之前,企业通常通过在配置中硬编码密钥和其他敏感数据来静态管理敏感信息以进行访问。在 API7 企业版中,通过指定密钥访问路径来实现动态密钥检索。只要密钥存储路径保持不变,对密钥的任何更改都不会影响其在 API7 企业版中的使用。这种方法消除了手动密钥管理的需要,减少了错误,简化了密钥管理,并显著提高了安全性。
审计与合规
使用密钥和敏感信息通常需要遵守行业标准和监管要求。与第三方密钥管理器集成后,API7 企业版可以记录密钥提供者资源的详细访问日志和审计信息,例如创建、编辑或删除密钥提供者。这有助于企业进行合规性检查和安全分析。通过审计跟踪,企业可以及时发现异常访问行为并采取适当的保护措施。
可以在 API7 仪表板上密钥提供者的引用列表中查看消费者凭证中变量的引用关系。编辑或删除密钥提供者时,会执行引用检查,以防止因无效变量引用而导致的配置错误。