Yükleniyor...
IBM webMethods API Gateway ile OpenShift öncesinde merkezi kimlik doğrulama ve yetkilendirme katmanı oluşturulması
Banka, OpenShift (Kubernetes tabanlı) platformu üzerinde çalışan mikroservislerinde kimlik doğrulama ve yetkilendirme süreçlerini her servis içinde, custom bir IAM entegrasyonu ile yönetiyordu. Bu yaklaşım, güvenlik yönetimini dağıtık hâle getiriyor ve OpenShift ortamına ulaşan isteklerin önceden filtrelenmesini zorlaştırıyordu. Kurum, yetkisiz erişimleri uygulama katmanına gelmeden engelleyebilecek merkezi bir güvenlik mimarisi arıyordu.
IBM webMethods API Gateway, OpenShift ortamının dışında sanal makine üzerinde konumlandırılarak merkezi bir API güvenlik katmanı oluşturuldu. API Gateway, bankanın mevcut identity provider’ına entegre edildi ve tüm OpenShift servisleri gateway arkasına alındı. Böylece gelen tüm istekler OpenShift’e ulaşmadan önce authenticate ve authorize edilmeye başlandı.
Bankacılık sektöründe, yüksek güvenlik gereksinimleri ve regülasyonlar nedeniyle mikroservis mimarilerinde kimlik ve erişim yönetimi kritik bir rol oynar. OpenShift gibi Kubernetes tabanlı container platformları, uygulama ekiplerine hız ve ölçeklenebilirlik sağlarken, güvenlik kontrollerinin doğru mimari katmanda konumlandırılması büyük önem taşır.
Bu projede müşteri, OpenShift üzerinde konumlandırılmış mikroservislerini custom bir IAM çözümü ile koruyordu. Ancak bu yaklaşım, zamanla operasyonel karmaşıklığı artırdı ve merkezi güvenlik yönetimini zorlaştırdı.
Mevcut mimaride kimlik doğrulama ve yetkilendirme süreçleri, OpenShift üzerinde çalışan her mikroservisin kendi sorumluluğundaydı. Güvenlik kontrollerinin uygulama katmanına dağılmış olması, hem merkezi yönetimi zorlaştırıyor hem de platform seviyesinde erken müdahaleyi engelliyordu. Zamanla artan mikroservis sayısı, bu yaklaşımın sürdürülebilirliğini daha da zor hâle getirdi.
Bu yapı aşağıdaki teknik zorlukları beraberinde getiriyordu:
Bu zorlukları aşmak için güvenliği uygulama katmanından ayıran ve OpenShift ortamına ulaşan trafiği merkezi olarak kontrol eden bir mimari benimsendi. Amaç, kimlik doğrulama ve yetkilendirme süreçlerini platform seviyesinde konumlandırarak, mikroservisleri bu sorumluluktan arındırmaktı.
Bu doğrultuda aşağıdaki teknik yaklaşım uygulandı:
Bu mimari sayesinde banka, OpenShift üzerindeki mikroservislerini merkezi ve tutarlı bir güvenlik katmanı ile koruma altına aldı. Kimlik doğrulama ve yetkilendirme süreçleri API Gateway üzerinde toplanarak güvenlik riskleri azaltıldı ve mikroservis ekiplerinin uygulama geliştirmeye odaklanması sağlandı. Yetkisiz erişimler, container platformuna ulaşmadan engellendi.
OpenShift üzerinde çalışan mikroservislere gelen tüm trafiğin, cluster’a ulaşmadan önce merkezi bir API Gateway üzerinden doğrulanması sağlandı. Böylece authentication ve authorization kontrolleri tek bir noktadan yönetilir hale geldi.
Daha önce her mikroservisin kendi IAM entegrasyonunu barındırması, geliştirme ve operasyonel karmaşıklığa yol açıyordu. Bu sorumluluk API Gateway katmanına taşınarak mikroservisler sadeleştirildi ve güvenlik politikaları merkezi hale getirildi.
API Gateway, bankanın mevcut kurumsal Identity Provider altyapısına entegre edildi. Sonuç olarak OpenShift cluster’ı yetkisiz erişimlere tamamen kapatıldı ve güvenlik operasyonları merkezi bir kontrol noktasından yönetilebilir hale geldi.
Güvenliği uygulama kodundan ayırmak bizim için kritik bir hedefti. IBM webMethods API Gateway ile OpenShift öncesinde merkezi bir kimlik doğrulama ve yetkilendirme katmanı oluşturarak hem güvenliği güçlendirdik hem de mikroservis ekiplerinin üzerindeki operasyonel yükü azalttık.