Bảo mật API trong Microservices

Công ty tôi từng làm việc với một fintech startup. Họ dùng JWT với thời hạn 12 giờ. Một ngày, một kỹ sư lỡ tay leaked API key. Mất 12 giờ, hacker mới bị từng chặn hoàn toàn. Nhân viên khác gọi điện cho CEO nói "dự án sắp phá sản", trong khi CEO chỉ biết ngồi chôn chân. JWT không phải là giải pháp cho mọi trường hợp.

mTLS: Bức tường cao nhất (nhưng cũng phức tạp nhất)

Nếu JWT là "chúng tôi dùng ngòi bút đặc biệt để ký vào token", thì mTLS là "chúng ta dùng chứng chỉ cấp bộ để xác thực lẫn nhau". Mỗi service có một certificate, và khi A gọi B, cả A và B đều verify certificate của nhau.

Trong kiến trúc microservices, mTLS là "best practice" khi service-to-service communication. Không nên sử dụng API key đơn giản hoặc JWT trong môi trường internal. Tuy vậy, mTLS có chi phí: bạn cần một PKI infrastructure (hay một service mesh như Istio), certificate rotation process, và debug cũng khó hơn vì bây giờ bạn không chỉ lo logic mà còn lo certificate.

Một lập trình viên ở công ty tôi từng nói: "mTLS là như lắp một hệ thống camera bảo mật tại nhà mình để đảm bảo vợ không lén ăn dessert". Chính xác. Nó hoạt động, nhưng có lẽ quá phức tạp cho vấn đề ban đầu.

API Gateway: Nơi tất cả điều khác lạ bắt đầu

Khi client bên ngoài gửi request, nó không trực tiếp gọi service của bạn—nó gọi API Gateway trước. API Gateway là người bảo vệ, là người canh gác cổng.

Công cụ như Kong, AWS API Gateway, hay Nginx ngày nay có thể enforce rate limiting, IP whitelisting, API key validation, và OAuth 2.0 integration. Nhưng—và đây là cái "nhưng" lớn—nếu service của bạn không có thêm authentication lớp thứ hai, attacker có thể bypass gateway và gọi service trực tiếp (nếu network cho phép).

Một startup ở Hà Nội tôi biết đã test điều này. Họ có API Gateway tuyệt vời. Nhưng service backend của họ được expose trên port 8080 mà không có rate limiting hoặc authentication. Attacker scan mạng, tìm thấy port 8080, vào được. Bài học: không bao giờ tin rằng network firewall là cơ chế bảo mật duy nhất. Mỗi service phải tự bảo vệ mình.

Những điểm cần chú ý

1. 1Rotate credentials thường xuyên—nếu bạn không rotate API keys mỗi 3-6 tháng, bạn đang chơi một trò chơi nguy hiểm.

1. 1Implement audit logging—bạn cần biết ai gọi service của mình, lúc nào, từ đâu. Nếu cảnh báo không xuất hiện sau 6 tháng, attacker sẽ ngồi yên và hút dữ liệu của bạn.

1. 1Zero-trust architecture: không tin bất kỳ ai, thậm chí internal requests. Verify mọi request.

1. 1Secrets management: dùng Vault, AWS Secrets Manager, hay Kubernetes Secrets. Không để credentials ở trong code.

1. 1Thử tấn công chính mình: penetration testing không phải cao xa. Hire một consultant hoặc dùng công cụ như OWASP ZAP để scan API của bạn.

Bảo mật microservices không phải là một thiết lập rồi quên. Nó là một quá trình liên tục, một mindset. Mỗi service là một điểm yếu tiềm tàng, và kẻ xấu đang chờ bạn ngủ gục.

---

Nếu bạn đang xây dựng hệ thống microservices ở Việt Nam, hãy suy nghĩ cẩn thận về bảo mật từ ngày đầu tiên—một công ty như Idflow Technology sẽ giúp bạn thiết kế đúng cách.