API gateway a přístup

Posted on by Lukáš Kroc
API gateway a přístup

API Gateway a řízení přístupu: proč na tom záleží

API Gateway je ústřední bod pro publikaci, ochranu, škálování a monitorování rozhraní API. V kontextu API managementu slouží jako brána mezi klienty (mobilní aplikace, weby, partneři) a backendovými službami (mikroslužby, monolity, datové zdroje). Kvalitně navržená gateway sjednocuje autentizaci, autorizaci, řízení provozu, observabilitu a governance – a tím výrazně snižuje rizika i náklady.

Role API Gateway v architektuře

  • Terminace protokolů: Převod HTTP/2 & gRPC na HTTP/1.1, TLS terminace, podpora mTLS.
  • Bezpečnostní enforcement: Validace tokenů (JWT, opaque), kontrola scopes, rate limiting, WAF pravidla, ochrana proti útokům.
  • Směrování a agregace: Routing na cílové služby, path-based a header-based routing, request/response transformace.
  • Observabilita: Centralizované logování, metriky (SLI), distribuované trasování.
  • Governance: Publikace katalogu API, správa verzí, politik, monetizace a kvót.

Základní pojmy: identita, autentizace, autorizace

Identita reprezentuje subjekt (uživatel, služba, zařízení). Autentizace ověřuje, že subjekt je tím, kým tvrdí, že je (např. OAuth 2.1/OIDC, mTLS). Autorizace rozhoduje, zda je akce povolena (RBAC/ABAC/PBAC) a v API kontextu se často vyjadřuje přes scopes a claims v tokenech.

Modely autorizace: RBAC, ABAC a PBAC

  • RBAC (Role-Based): Rozhodování na základě rolí (např. role=admin má přístup k /v1/users/*). Jednoduché, ale hrubozrnné.
  • ABAC (Attribute-Based): Pravidla vyhodnocují atributy subjektu, prostředku a kontextu (např. department=Sales, region=EU, risk_score<50).
  • PBAC (Policy-Based): Politiky definované jako deklarativní pravidla (např. pomocí OPA/Rego) oddělují logiku rozhodování od kódu.

Autentizační standardy: OAuth 2.1 a OpenID Connect

Pro přístup třetích stran je de facto standardem OAuth v kombinaci s OpenID Connect pro identitu uživatele. API Gateway obvykle:

  • přijímá bearer tokeny (většinou JWT),
  • validuje podpis a expiraci,
  • ověřuje audience, issuer a vyžadované scopes,
  • provádí introspection u opaque tokenů,
  • aplikuje token exchange nebo delegation pro volání downstream služeb.

mTLS a identita služeb

Vzájemná autentizace přes TLS certifikáty (mTLS) je robustní pro stroj–stroj komunikaci. API Gateway může vynucovat mTLS na edge i mezi službami (north–south i east–west), přičemž certifikáty spravuje interní PKI. Claims z certifikátu (např. SPIFFE ID) lze mapovat na politiky přístupu.

API klíče versus tokeny

API klíče jsou vhodné pro jednoduché, nízkorizikové integrace a identifikaci klienta, nikoli pro jemnozrnnou autorizaci. Tokeny (JWT/OAuth) poskytují lepší auditovatelnost, časovou omezenost a kontext (scopes, claims). Bezpečnou praxí je rotace a least privilege.

Strategie řízení přístupu v praxi

  1. Definujte klasifikaci API (interní, partnerské, veřejné) a citlivost dat.
  2. Zvolte model autorizace (RBAC/ABAC/PBAC) pro každé API a definujte policy jako kód.
  3. Vyberte identitní toky (Client Credentials, Auth Code + PKCE, Device Code) dle typu klienta.
  4. Vynucujte síťové hranice (WAF, mTLS, privátní ingress) a zero trust principy.
  5. Implementujte rate limiting a kvóty na úrovni consumer app i tenant.
  6. Monitorujte a auditujte požadavky, rozhodnutí polic a anomálie.

Rate limiting, throttling, kvóty a ochrana proti DoS

Gateway vynucuje limity jako 100 req/min na klíč/tenant, burst limity a leaky bucket/token bucket algoritmy. Kvóty (např. počet volání za den) podporují monetizaci a férové využití. Ochrana proti DoS zahrnuje IP reputation, bot detection, a circuit breakers.

Validace požadavků a schémat

Validace proti OpenAPI/JSON Schema brání průniku nečekaných polí, předchází mass assignment a snižuje zátěž backendů. Gateway může provádět transformace (např. mapování v1v2), normalizaci hlaviček a sanitizaci dat.

Jemnozrnná autorizace pomocí scopes a claims

Scopes jako payments:read a payments:write umožňují oddělit čtení a zápis. Claims (např. tenant_id, role, consent=granted) rozšiřují kontext, který gateway zohledňuje v policích, například omezí přístup na zdroje konkrétního nájemce.

Vícevrstvé řízení přístupu: edge, gateway, service mesh

Edge vrstva řeší hrubozrnnou filtraci a DDoS mitigaci. API Gateway aplikuje autentizaci/autorizaci a business limity. Service mesh (sidecar proxy) vynucuje mTLS a zero trust mezi mikroslužbami. Kombinace poskytuje obranu do hloubky.

Architektonické vzory nasazení

  • Centralizovaná gateway: Jedno místo řízení, snadná governance, riziko bottlenecku.
  • Více gatewayí (per domain): Lepší izolace a autonomnost týmů, vyšší provozní složitost.
  • Hybridní/edge + mesh ingress: Edge gateway pro externí klienty, mesh ingress pro interní provoz.

Životní cyklus API a governance

API procházejí fázemi návrhu, publikace, provozu, verze a deprecace. Gateway a portál vývojářů zajišťují katalog, registraci aplikací, správu klíčů, schvalování a notifikace o změnách. Politiky verze (např. /v1, /v2) a SLA musí být transparentní.

Verzování, kompatibilita a migrace

Preferujte kompatibilní změny (přidávání polí). Pro breaking změny publikujte novou major verzi a naplánujte deprecaci s milníky. Gateway může pomocí transformací dočasně usnadnit migraci klientů, ale trvalé „shimování“ zvyšuje technický dluh.

Testování a CI/CD politik

Politiky a konfigurace gatewaye verzujte jako kód. V CI/CD pipeline automatizujte:

  • lint a validaci OpenAPI,
  • kontraktační testy (producer/consumer),
  • bezpečnostní testy (fuzzing, negative tests),
  • performance testy (latence P50/P95/P99, průchodnost),
  • canary a postupné rollouty s měřením dopadů.

Observabilita, audit a forenzní analýza

Gateway generuje auditní záznamy pro každé rozhodnutí (kdo/kdy/co/proč zamítnuto/povoleno), metry (chybovost, latence, saturace) a trace (např. W3C Trace Context). Uchovávejte logy bezpečně, oddělte osobní údaje a zajistěte tamper-evident úložiště.

Výkon, škálování a cache

Gateway musí být horizontálně škálovatelná, s podporou autoscalingu podle metrik (CPU, RPS, latence). U veřejných API využijte cache (CDN, response caching) s řízením stárnutí (Cache-Control), aby se snížila zátěž backendu a latence pro klienty.

Vysoká dostupnost a disaster recovery

Nasazujte více replik v různých zónách a regionech, s health checks, circuit breakers a failover routováním. Udržujte RTO/RPO cíle a pravidelně testujte DR plány, včetně obnovy konfigurace gatewaye a klíčového materiálu.

Multitenance a monetizace

Více-nájemcová prostředí vyžadují separaci klíčů, kvót a limitů, izolaci dat a vyúčtování. Gateway zprostředkuje plány předplatného, reporty spotřeby a eventy pro fakturaci. Politiky musí zohledňovat tenant_id a nájemcovské smluvní SLA.

Soukromí, compliance a ochrana dat

Pro prostředí s osobními údaji dodržujte GDPR a další regulace: data minimization, purpose limitation, maskování a tokenizace citlivých polí, řízení souhlasů, data residency a práva subjektů. Gateway může provádět data redaction v logách a vynucovat geografická omezení.

Bezpečnostní hrozby a mitigace

  • Injection a deserializace: Validace schémat, WAF, content-type whitelisting.
  • Broken Auth: Krátká expirace tokenů, rotace klíčů, refresh flow s detekcí anomálií.
  • Replay: nonce, iat, exp, PoP tokeny (proof-of-possession).
  • Exfiltrace dat: Limity odpovědí, field-level filtering, DLP skeny.
  • Supply chain: Podepisování konfigurací, princip two-person rule, schvalování změn.

API design a dopad na řízení přístupu

Konzistentní návrh cest, metod a chybových kódů usnadňuje definici polic. Příklady:

  • GET /v1/resources/{id} – čtení řídit scope resource:read.
  • POST /v1/resources – zápis řídit scope resource:write a kontrolu citlivých polí.
  • Idempotentní operace ulehčují rate limiting a retrie.

Service-to-service autorizace a delegace

Pro volání mezi službami použijte mTLS a short-lived tokeny vázané na identitu služby. Delegace (např. token exchange) umožní backendu jednat jménem uživatele s omezenými právy (downscoping).

Zero Trust a kontextové rozhodování

Zero Trust předpokládá nedůvěru k síti i identitám. Gateway proto zohledňuje kontext (geolokace, rizikové skóre, typ klienta, stav zařízení) a dynamicky zvyšuje požadavky (např. vyžádá silnější autentizaci nebo zablokuje anomální transakci).

Provozní model: týmy, odpovědnosti a rozhraní

Rozdělte odpovědnosti mezi API Platform (správa gatewaye a polic), Product týmy (návrh API, SLO) a Security (politiky, hrozby). Zaveďte guardrails: šablony služeb, předpřipravené politiky, self-service portál a školicí materiály.

Metodika zavedení API Gateway a přístupových politik

  1. Discovery a klasifikace: Inventarizujte existující API, citlivost a konsumenty.
  2. Návrh cílového stavu: Zvolte deployment pattern, identitní toky, model autorizace, observabilitu.
  3. Pilot: Vyberte reprezentativní API, implementujte politiky, nastavte metriky a alerty.
  4. Industrializace: Policy-as-code, CI/CD, katalog, samoobsluha pro vývojáře.
  5. Škálování: Multiregion, DR, multitenant, monetizace, smluvní SLA.
  6. Průběžné zlepšování: Threat modeling, pen testy, review polic, post-mortems.

Příklad politik (konceptuálně)

Uvažujme kombinaci pravidel:

  • Autentizace: vyžadovat Authorization: Bearer <JWT>, iss a aud shoda, exp > nyní.
  • Autorizace: pro POST /v1/payments vyžadovat scope payments:write, claim tenant_id = cesta parametru.
  • Rate limiting: 50 RPS na client_id s burst 100, denní kvóta 10 000.
  • Validace: payload dle JSON Schema, odmítnout neznámá pole, velikost < 256 kB.
  • Maskování logů: redakce polí card_number, cvv, ssn.

Časté chyby a antipatterny

  • Přílišná závislost na API klíčích místo tokenů a scopes.
  • Persistentní dlouhožijící tokeny bez rotace a revokace.
  • Nevalidované payloady a volné schéma – zvyšuje riziko zranitelností.
  • Konfigurace mimo verzi – chybí audit a reprodukovatelnost.
  • Monolitická „super-gateway“ bez doménových hranic – vede k bottleneckům a fragilitě.

Měření úspěchu: SLI/SLO a nákladová efektivita

Definujte SLI (dostupnost, latence, chybovost, přesnost autorizací) a SLO (např. 99.95% dostupnost, P95 < 200 ms). Sledujte náklady na tranzit, šifrování a metriky cache hit ratio, aby byl provoz gatewaye ekonomicky udržitelný.

Závěr

API Gateway je základním stavebním kamenem moderního API managementu. Úspěch stojí na policy-as-code, standardech identity (OAuth/OIDC, mTLS), konzistentním návrhu API, důsledné observabilitě a průběžném vyhodnocování rizik. Dobře navržené řízení přístupu zvyšuje bezpečnost, zlepšuje vývojářskou zkušenost a umožňuje škálovat API ekonomicky i provozně udržitelným způsobem.

Related Posts

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *