使用 Apigee 保护应用程序和 API 的最佳实践

全球各地的企业面临着客户、员工和合作伙伴对数字体验需求的持续增长。对于许多企业而言，数百个业务应用程序托管在私有云或公共云中，这些应用程序与分布在不同地理位置、渠道（包括 Web、移动、API、VPN 和云服务）的用户（客户、合作伙伴和员工）进行交互，同时跨越多个时区。

随着需求的激增，企业面临着越来越大的压力，需要强化技术基础设施以抵御网络攻击。根据美国联邦调查局的数据，2020 年针对美国公司的网络攻击报告数量比上一年增加了 69%。尽管无法完全预防 Web 和 API 攻击，但可以通过有效的措施进行缓解——最近的一项研究显示，55% 的组织至少每月遭受一次 DDoS 攻击。

尽管许多企业正在加速数字化转型以构建全渠道体验，但必须在所有渠道中始终将安全和隐私置于首位。这一目标只能通过实施强大的安全架构和组织策略执行模型来实现，使企业能够几乎实时地预防、检测和应对新兴威胁。尽管这一目标听起来简单，实际实施却极具挑战性。

保护应用程序和 API 的最佳实践

为了帮助组织应对这些挑战，近期发布了《使用 Apigee 保护应用程序和 API 的最佳实践》，其中描述了利用 Apigee API 管理、Google Cloud Armor 和 reCAPTCHA 保护应用程序和 API 的最佳方法。这些最佳实践涵盖了使用 Apigee 作为代理层保护后端 API、使用 Google Cloud Armor 作为 Web 应用程序防火墙 (WAF)、使用 Cloud CDN 进行缓存，以及结合 Google Cloud 解决方案提供全面的 Web 应用和 API 保护。

使用 Apigee 作为代理层

在此模式中，Apigee 充当外观层，利用其开箱即用的功能保护后端 API。

Apigee 提供广泛的安全功能，可在所有 API 中一致应用。它能够将请求路由到不同的后端，有助于迁移工作。

将 Google Cloud Armor 与 Apigee 一起用作 WAF 层

为了提高安全性，可以轻松启用 Google Cloud Armor 和 Apigee。Google Cloud Armor 提供 Web 应用程序防火墙 (WAF) 功能，有助于防止分布式拒绝服务 (DDoS) 攻击，并减轻 OWASP Top 10 中列出的风险对应用程序的威胁。有关在 Google Cloud Armor 中配置规则的更多信息，请参阅 Google Cloud Armor 操作指南 或查看有关 Apigee 和 Google Cloud Armor 的博客文章。

使用 Cloud CDN 进行缓存

通过使用 Cloud CDN（内容分发网络），可以利用 Google 全球网络在用户附近提供内容，从而加快网站和应用程序的响应时间。Cloud CDN 还提供缓存功能，能够更快地提供响应，通过从缓存返回响应并处理流量峰值，帮助保护后端。它有助于最大限度地减少 Web 服务器负载、计算和网络使用。要实施此架构，需在为 Apigee 流量提供服务的负载均衡器上启用 Cloud CDN。有关更多信息，请查看 相关博客文章.

实施全面的 Web 应用程序和 API 保护 (WAAP)

为了进一步增强安全配置文件，还可以使用 WAAP，将 Google Cloud Armor、reCAPTCHA Enterprise 和 Apigee 结合起来，帮助保护系统免受 DDoS 攻击和机器人程序的侵害。WAAP 还提供 Web 应用程序防火墙 (WAF) 和 API 保护。

建议将 WAAP 用于从网站或移动应用程序进行 API 调用的企业用例。可以设置应用程序加载 reCAPTCHA 库以生成 reCAPTCHA 令牌，并在发出请求时将其发送。有关 WAAP 的更多信息，请查看 相关博客文章 或阅读 白皮书.

后续步骤

随着越来越多的组织加速数字化转型，系统和业务渠道将更加依赖数字化交互，对更严格的安全和保护级别的需求将持续上升。构建一个能够帮助组织快速高效地交付、提升威胁防护和可见性的架构至关重要。

原文链接：Best practices for securing your applications and APIs using Apigee