Pular para o conteúdo principal

Integração de WAF e DNS com o Gateway de API (Kong) – Finansystech

Leonardo

A Finansystech utiliza o Kong como gateway de API, onde todas as rotas são cadastradas e expostas para a internet. Um exemplo de rota configurada seria:

https://api.client1.dev.fsapps.app

 

Ambientes de Homologação e Produção

   Homologação: É possível utilizar diretamente o host do Kong (como no exemplo acima) para testes.

   Produção: O cliente deve criar dois registros DNS:

       Um domínio público (sem mTLS)

       Um domínio privado (com mTLS ICP-Brasil)

Ambos os domínios devem ser apontados para o CNAME do Kong fornecido pela Finansystech.

 

Apontamento de DNS para o Kong

Após a criação dos domínios, o cliente deve apontar os respectivos registros DNS para o CNAME do Kong, que segue o padrão:

api.client1.dev.fsapps.app

Com esse apontamento, o Kong da Finansystech passará a responder pelas chamadas feitas ao domínio do cliente.

____________________________________________________________________________
Integração com WAF em Ambientes Multimarca

Clientes que operam em ambiente multimarca normalmente utilizam soluções de WAF (como Akamai, Cloudflare, etc.). O WAF atua recebendo a requisição no domínio principal do cliente, identifica a marca com base na rota ou cabeçalhos e encaminha a requisição corretamente para o Kong da Finansystech.

Abaixo estão três modelos de integração possíveis:


Modelo 1 – Domínio por Marca

  •    Cada marca possui seu próprio domínio.
  • O roteamento é feito por domínio.

Exemplo:

https://api.dominioCliente1.com → Servidor A (api.client1.dev.fsapps.app)
https://api.dominioCliente2.com → Servidor B (api.client2.dev.fsapps.app)


Modelo 2 – Rota por Marca no Mesmo Domínio

  •    Um único domínio principal.
  • As rotas definem a marca que será atendida.

Exemplo:

https://api.dominioCliente.com/marca1 → Servidor A (api.client1.dev.fsapps.app)
https://api.dominioCliente.com/marca2 → Servidor B (api.client2.dev.fsapps.app)


Modelo 3 – Rota por Marca com Header de Encaminhamento (Não recomendado)

  •    Um único domínio principal com rotas distintas.
  • O WAF adiciona o header x-forwarded-host para indicar qual marca está sendo chamada.

Exemplo:

https://api.dominioCliente.com/marca1 → Servidor A (api.client1.dev.fsapps.app)
Header: x-forwarded-host: api.dominioCliente1.com

https://api.dominioCliente.com/marca2 → Servidor B (api.client1.dev.fsapps.app)
Header: x-forwarded-host: api.dominioCliente2.com

 

Repassar o Certificado de Transporte na Chamada

Outra configuração necessária é o repasse do certificado de transporte (brcac) que o cliente utiliza na conexão mTLS.

Como funciona:

  • O cliente deve configurar sua infraestrutura (WAF, proxy reverso, etc.) para incluir o certificado de transporte no header HTTP da requisição.
  • Esse header será utilizado pela Finansystech para validar o certificado apresentado na chamada.

Artigos relacionados

Comentários

0 comentário

Artigo fechado para comentários.