Gateway de API

Infraestructura Y Gobernanza Security Notes Jan 6, 2025 YAML

Definición

Imagina un aeropuerto donde en lugar de un control de seguridad centralizado, cada aerolínea tuviera el suyo propio. Pasarías por seguridad diez veces si tuvieras que ir a diferentes terminales. Un gateway de API es como ese control de seguridad único del aeropuerto - un punto de entrada centralizado que maneja la seguridad, enruta a los pasajeros correctamente, y mantiene todo organizado.

Un API Gateway es la puerta principal de todas las peticiones a tu sistema. En lugar de que los clientes hablen directamente con docenas de microservicios diferentes, hablan con el gateway. Este se encarga de verificar autenticación, aplicar límites de velocidad, enrutar la petición al servicio correcto, agregar respuestas de múltiples servicios, y hasta transformar formatos de datos. Los servicios backend se liberan de estas tareas repetitivas.

¿Por qué centralizar todo esto? Consistencia y seguridad. Si cada microservicio implementa su propia autenticación, habrá inconsistencias y agujeros. Si cada uno maneja su propio rate limiting, es difícil de coordinar. El gateway garantiza que las políticas se apliquen uniformemente. Además, los clientes solo necesitan conocer una URL - el gateway sabe cómo llegar a los servicios internos.

Ejemplo

Arquitectura de Microservicios de Netflix: Netflix tiene cientos de microservicios. Su gateway (Zuul) recibe todas las peticiones, verifica tokens, decide qué versión del servicio usar (A/B testing), enruta al microservicio correcto, y agrega respuestas cuando una pantalla necesita datos de múltiples servicios.

AWS API Gateway: Cuando construyes APIs serverless con Lambda, API Gateway maneja SSL, autenticación (Cognito, API keys), rate limiting, caching, y transformación de requests/responses. Tus funciones Lambda solo se preocupan por la lógica de negocio.

E-commerce con Múltiples Servicios: Un checkout necesita datos de inventario, precios, usuario, y pagos - cuatro microservicios diferentes. El gateway puede recibir una sola petición, consultar los cuatro servicios en paralelo, agregar las respuestas, y devolver todo en una sola respuesta al cliente móvil.

API Pública con Múltiples Versiones: Una empresa ofrece su API a desarrolladores externos. El gateway maneja versiones (v1, v2), aplica diferentes limits según el plan de suscripción, transforma respuestas para compatibilidad hacia atrás, y registra uso para facturación. Los servicios backend son ajenos a toda esta lógica.

Analogía

La Terminal del Aeropuerto: El gateway es el control de seguridad y las pantallas de información. Verificas tu identidad una vez (autenticación), pasas el control (autorización), ves a qué puerta ir (enrutamiento), y el aeropuerto gestiona el flujo de pasajeros (rate limiting). No necesitas saber cómo funciona internamente cada aerolínea.

La Recepción del Hotel: En lugar de buscar directamente al conserje, al chef, o al servicio de limpieza, hablas con recepción. Ellos saben a quién contactar, verifican que eres huésped, y coordinan servicios. El gateway es esa recepción para tus APIs - centraliza la comunicación y el control.

El Centro de Llamadas: Llamas a un único número (el gateway). El sistema verifica quién eres, te hace las preguntas correctas, y te enruta al departamento apropiado. No necesitas conocer los números directos de cada departamento, y el sistema puede balancear carga entre agentes disponibles.

La Entrada del Parque Temático: Un solo punto de entrada donde verifican entradas, revisan mochilas, dan mapas, y controlan la cantidad de gente que entra. Una vez dentro, puedes ir a cualquier atracción. El parque (backend) no necesita verificar tu entrada en cada montaña rusa - eso ya se hizo en la entrada (gateway).

Code Example


# Configuración de Kong API Gateway
services:
  - name: orders-service
    url: http://orders-backend:8080
    routes:
      - name: orders-route
        paths:
          - /api/orders
    plugins:
      - name: jwt
        config:
          secret_is_base64: false
      - name: rate-limiting
        config:
          minute: 100
          policy: local
      - name: cors
        config:
          origins:
            - https://miapp.com
          methods:
            - GET
            - POST
            - PUT
            - DELETE
      - name: request-transformer
        config:
          add:
            headers:
              - "X-Internal-Request: true"

Notas de Seguridad

SECURITY NOTES

Requisitos Principales:

  • El Gateway de API es un límite de seguridad crítico - si falla, todo falla.
  • Implementa defensa en profundidad: valida todas las entradas, impone autenticación/autorización en cada petición, usa TLS en todas partes incluyendo comunicación con backends.
  • Implementa rate limiting por cliente, IP y globalmente.

Mejores Prácticas:

  • Configura WAF (Web Application Firewall) para detectar ataques comunes.
  • No expongas información interna en errores.
  • Implementa logging detallado para auditoría.
  • Ten redundancia y failover - el gateway no puede ser punto único de fallo..