身為架構師,我什麼時候會勸客戶別急著買 API 管理工具(APIM)|專家論點【黃婉中】
作者:黃婉中(雲端架構師)
如何用分層防護在「安全」與「預算」間取得平衡,並判斷什麼時候才真的需要 APIM?
最近在跟客戶討論架構改善時,遇到了一個挑戰:客戶的 API Server 跑在 Azure VM 上,想強化安全,但對「API 管理工具 (APIM)」的高昂月費感到猶豫。
作為架構師,我的職責是幫客戶在「風險」與「預算」之間找到平衡。這篇文章想分享:如果你也不想一次就買整套工具,該怎麼做到安全?
為什麼大家愛用 VM 自架 API?
其實理由很單純:省錢、順手、好控制。 很多公司覺得 API 沒幾個,自己寫程式就能擋掉一些惡意攻擊,為什麼要每個月多花幾百塊美金去買一個「管理介面」?這個想法沒錯,但在「安全」跟「預算」之間,我們得找個平衡。
3 種等級的防護
在雲端的世界裡,保護 API 就像經營一間餐廳,防護等級決定了你能擋住什麼樣的麻煩。
有這 3 種情境:
第一層:基礎設定
這就像是幫 VM 裝鐵窗(自己動手,免費)。
- 網路安全性群組規則(NSG): 限制只有特定的 IP 可以連到這台 VM。
- 受控識別(Managed Identity): 就像「刷臉認證」。別把資料庫密碼寫在程式碼裡,讓 VM 透過自己的「身份」直接去領取存取權。
第二層:專業保全(Application Gateway + WAF)
如果 API 要開放給合作夥伴,可以加裝 WAF (網站防火牆)。它專門擋 SQL 注入或惡意腳本。
但要注意,保全只管進來的人是不是壞蛋,管不了「這個人是不是太常來(頻率過高)」。
第三層:秘書管理(APIM)
這就是客戶目前還沒打算用的。
APIM 更像秘書,能做到:
- 限流 (Rate Limiting): 保全管不了訪客一直按門鈴,但秘書可以。秘書可以規定「小明每分鐘只能點五道菜」,防止有人瘋狂呼叫,把伺服器拖垮。
- Developer Portal: 秘書會幫你寫好說明書(Swagger),讓客人自己看跟申請,省下你每天解釋 API 怎麼接的時間。
既然有保全,為何還要秘書?
回到案例,客戶的架構其實已經做得不錯,結合了 Private Link(讓服務只走自家通道)、Azure Monitor(紀錄紀錄呼叫足跡)以及 WAF(阻擋惡意攻擊)。
客戶問:「既然夠安全了,還有必要買 APIM 嗎?」
我的看法是:從「安全」來看已經足夠,接著要看的是「管理」需求。
如果面臨以下情境,秘書就有其必要性::
- 使用者眾多且複雜:不只是自己人用,還有外部合作夥伴。
- 需要分級制度:需要針對不同對象限制不同的呼叫次數(配額管理)。
如果暫時不想買 APIM,我會怎麼建議?
如果暫時沒有管理需求,我會建議在程式碼裡寫好:
- 限流: 在程式邏輯中偵測 IP 請求頻率,太頻繁就暫時不理。
- 日誌完整性:確保 VM 的紀錄有完整保留,否則出事時就像監視器沒插記憶卡,什麼都查不到。
結論:架構沒有對錯,只有「現在適不適合」
我一直認為最適合的架構,必須評估當下的預算與規模。
如果你的 API 只有 1-2 個,而且只有自己人用,WAF、Private Lnk 和 Azure Monitor 其實就夠用了。
但如果有一天,你的 API 變成了「產品」,要給更多人用,那時候請個 APIM(秘書) ,絕對比工程師加班修伺服器還要划算。
安全是動態的,你的架構也要跟著業務一起長大。
延伸閱謮:如果你的Agent不能被「評估」,那它可能還沒準備好上線|專家論點【黃婉中】
💡 最後分享兩個「不花錢」的安全小撇步:
- 檢查 NSG 規則:確認是否限制「只有來自 Gateway 的流量」能進到 VM?這能防止駭客繞過防火牆直接攻擊你的主機 IP。
- 開啟 Microsoft Defender for Cloud:它的基礎版是免費的,能自動掃描 VM 設定(如防火牆開關、硬碟加密等)。雖然進階「漏洞掃描」要付費,但光是基礎版就能幫你擋掉許多低級錯誤,不拿白不拿!
