Quelle différence entre API gateway, reverse proxy et service mesh ?

Reverse proxy (Nginx, HAProxy, Traefik) : couche réseau générique HTTP/HTTPS qui route les requêtes vers backends, gère TLS termination, load balancing basique. API gateway (Kong, Apigee, AWS API Gateway) : reverse proxy spécialisé API avec fonctionnalités API-aware (auth, rate limiting, transformation, observabilité, portail développeur). Service mesh (Istio, Linkerd, Consul Connect) : infrastructure pour communications service-to-service (East-West) avec mTLS automatique, policy d'autorisation, observabilité. Pattern 2026 : API gateway en frontage Internet (North-South traffic) + service mesh pour interne microservices (East-West traffic). Les deux complémentaires.

API gateway open source ou managé cloud ?

Trois options. 1) Open source (Kong OSS, Tyk Community, KrakenD, Traefik) : contrôle total, gratuit, déploiement Kubernetes ou VM. Convient aux équipes DevOps autonomes. Coût opérationnel : 0,3 à 0,5 ETP pour maintenir HA, patches, monitoring. 2) Cloud managé (AWS API Gateway, Azure API Management, Google Cloud Endpoints) : pas d'ops, paiement à l'usage, intégration native cloud. Convient aux organisations cloud-native qui veulent zéro opérationnel. Coût : variable selon volume. 3) Commercial self-hosted ou SaaS (Kong Enterprise, Apigee, Tyk Cloud) : fonctionnalités enterprise (analytics, RBAC fin, support SLA), pour grandes organisations avec budgets. Choix typique 2026 : Kong OSS pour scale-up tech, AWS API Gateway pour cloud AWS-centric, Apigee pour grands groupes.

L'API gateway peut-il remplacer un WAF dédié ?

Partiellement. La majorité des API gateways modernes intègrent des fonctionnalités WAF basiques : règles OWASP CRS (Core Rule Set), filtrage SQL injection, XSS, command injection, plus rate limiting. Kong AWS Plugin Marketplace, Tyk WAF, Apigee Threat Protection. Pour la plupart des APIs B2B avec trafic légitime, c'est suffisant. Pour les APIs très exposées (B2C public, banking, e-commerce critique), un WAF dédié spécialisé (Cloudflare, AWS WAF, Imperva, F5 BIG-IP, Akamai Kona) en frontage du gateway apporte : règles propriétaires plus avancées, threat intelligence en temps réel, bot management sophistiqué, DDoS protection volumique. Pattern type production critique : CDN + WAF dédié → API Gateway → Backend.

Comment configurer mTLS sur un API gateway ?

Trois patterns selon le besoin. 1) mTLS termination au gateway : le gateway valide le certificat client X.509, transmet les attributs (DN, fingerprint) au backend via headers signés. Pattern le plus fréquent. 2) mTLS pass-through : le gateway transmet le handshake TLS au backend sans terminer (utilisé quand le backend doit valider le cert lui-même). 3) mTLS sur les liens internes uniquement (gateway → backend), avec auth standard (JWT, OAuth) pour les clients externes. Configuration Kong exemple : plugin mtls-auth avec CA configurée, refus si certificat absent ou invalide. AWS API Gateway : ARN d'un truststore S3 contenant les CA acceptées. Recommandation FAPI 2.0 banking : mTLS pass-through avec validation backend pour preuve cryptographique de bout en bout.

Quels pièges éviter avec un API gateway ?

Cinq écueils observés. 1) Backend exposé en parallèle du gateway : si le backend est accessible directement sans passer par le gateway, toutes les défenses du gateway sont contournées. Bind backend privé strict (réseau interne uniquement, security groups restrictifs). 2) Gateway monolithique single point of failure : déploiement sans HA = downtime gateway = downtime APIs. Minimum 3 instances HA derrière load balancer. 3) Sur-confiance dans le gateway : développeurs supposent que toutes les défenses sont au gateway et négligent les contrôles backend (BOLA, business logic). 4) Plugin sprawl non audité : ajout de plugins tiers sans review sécurité. Audit annuel des plugins déployés. 5) Logs gateway non ingérés en SIEM : audit perdu, détection d'attaques impossible. Centraliser systématiquement vers SIEM (Elastic, Splunk, Sentinel).

Quel est le coût d'un API gateway en 2026 ?

Variable selon solution et volume. Open source self-hosted (Kong OSS, Tyk Community, KrakenD, Traefik) : gratuit en licence, coût opérationnel 0,3 à 0,5 ETP DevOps. AWS API Gateway : environ 3,50 $ par million de requêtes REST API + transferts de données. Pour 100M req/mois : environ 350 $/mois en API calls + bande passante. Azure API Management : tier Consumption gratuit jusqu'à 1M calls/mois puis paiement à l'usage, tier Standard 850 €/mois. Apigee : tarification entreprise sur devis, typiquement 50 à 200 k€ annuels selon volume. Kong Enterprise : 30 à 150 k€ annuels selon nombre de noeuds. Pour démarrer en 2026 : Kong OSS + AWS Application Load Balancer en frontage = capable de scaler à 100M req/mois pour environ 500 €/mois infrastructure.

OWASP & AppSec

API Gateway : rôle sécurité et patterns 2026

API Gateway 2026 : rôle sécurité (auth, rate limit, WAF, mTLS, observabilité), comparaison Kong/Apigee/AWS/Tyk/KrakenD, patterns déploiement, pièges.

Naim Aouaichia

24 avril 202615 min de lecture

API Gateway
Kong
Apigee
AWS API Gateway
WAF
mTLS
Service Mesh
Architecture API

Une API Gateway est un composant d'infrastructure qui se positionne en frontage des services backend pour centraliser et standardiser les fonctions transverses : authentification, autorisation, rate limiting, transformation de requêtes/réponses, observabilité, protection contre les abus. Son rôle sécurité couvre 8 fonctions principales que les services backend n'ont plus besoin d'implémenter individuellement : validation de tokens (JWT, OAuth introspection), application de scopes, rate limiting avec algorithmes avancés, intégration WAF (OWASP Core Rule Set), terminaison mTLS, sanitization des requêtes, logging et audit centralisés, bot management. En 2026, l'écosystème API gateway se segmente entre solutions open source (Kong OSS, Tyk Community, KrakenD, Traefik) pour équipes DevOps autonomes, solutions cloud-managées (AWS API Gateway, Azure API Management, Google Cloud Endpoints) pour stack cloud-native zéro-ops, et solutions commerciales enterprise (Apigee Google, Kong Enterprise, Tyk Cloud) pour grands groupes avec besoins avancés. Cet article détaille la définition précise (gateway vs reverse proxy vs service mesh), les 8 fonctions sécurité dans le détail avec patterns d'implémentation, l'architecture North-South (gateway) versus East-West (service mesh), la comparaison des solutions 2026, l'architecture de déploiement HA, les anti-patterns récurrents et le hardening de l'API gateway lui-même.

Définition et positionnement

Trois composants souvent confondus mais distincts.

API Gateway

Composant qui centralise les fonctions transverses pour APIs : authentification, rate limiting, transformation, observabilité, portail développeur. Spécialisé HTTP/HTTPS et protocoles API (REST, GraphQL, gRPC).

Solutions phares 2026 : Kong, Tyk, Apigee, AWS API Gateway, Azure API Management, KrakenD, Gravitee, Traefik Hub.

Reverse Proxy

Couche réseau générique HTTP/HTTPS qui route les requêtes vers backends, gère TLS, load balancing basique. Pas API-aware.

Solutions phares : Nginx, HAProxy, Caddy, Apache HTTP Server.

Distinction : un reverse proxy peut être configuré pour faire certaines fonctions API gateway basiques (rate limiting, validation JWT via lua-resty modules). Mais il manque les fonctionnalités natives (portail dev, plugins riches, analytics). Pour APIs sérieuses en 2026, API gateway dédié.

Service Mesh

Infrastructure pour les communications service-to-service (East-West traffic) avec mTLS automatique, policy d'autorisation, observabilité distribuée, retry/circuit breaker.

Solutions phares 2026 : Istio (CNCF Graduated), Linkerd (CNCF Graduated), Consul Connect (HashiCorp), Cilium Service Mesh (eBPF).

Distinction : service mesh fonctionne via sidecars (Envoy injecté dans chaque Pod) ou eBPF, transparent pour les applications. Couvre les communications internes microservices, pas le trafic externe public.

Pattern North-South vs East-West

                    ┌─────────────────┐
                    │ Internet (users)│
                    └────────┬────────┘
                             │ NORTH-SOUTH
                             │ (trafic externe)
                             ▼
                    ┌─────────────────┐
                    │   CDN / WAF     │
                    └────────┬────────┘
                             │
                             ▼
                    ┌─────────────────┐
                    │  API Gateway    │ ← Auth, rate limit, transform
                    └────────┬────────┘
                             │
                             ▼
                    ┌─────────────────┐
                    │   Backend       │
                    │  Microservice A │
                    └────────┬────────┘
                             │ EAST-WEST
                             │ (trafic interne service-to-service)
                             │
                    ┌────────▼────────┐
                    │ Service Mesh    │ ← mTLS auto, policy
                    │ (Istio sidecar) │
                    └────────┬────────┘
                             │
                  ┌──────────┴──────────┐
                  ▼                     ▼
         ┌─────────────────┐  ┌─────────────────┐
         │  Microservice B │  │  Microservice C │
         └─────────────────┘  └─────────────────┘

API gateway en frontage Internet pour le North-South. Service mesh pour East-West interne. Les deux complémentaires en architecture moderne 2026.

Les 8 fonctions sécurité d'un API gateway

Détail des fonctions sécurité standardisées en 2026.

1. Authentification

Le gateway valide les credentials client à l'edge, libérant les backends de cette responsabilité.

Mécanisme	Implémentation gateway typique
API Keys	Plugin key-auth (Kong), Custom authorizer (AWS API Gateway), Standard (Tyk)
JWT validation	Plugin jwt (Kong), Lambda authorizer JWT (AWS), JWT middleware (KrakenD)
OAuth 2.0 introspection	Plugin oauth2-introspection (Kong), Custom authorizer
OIDC	Plugin oidc (Kong + Lua), Cognito User Pool authorizer (AWS)
mTLS	Plugin mtls-auth, mTLS configuration native (AWS, Azure)
Basic Auth	Plugin basic-auth (largement supporté)
LDAP	Plugin ldap-auth (Kong, Tyk)

Exemple Kong avec plugin JWT :

# Configuration Kong déclarative (kong.yaml)
services:
- name: orders-api
  url: http://orders-backend:8080
  routes:
  - name: orders-route
    paths: ["/api/v1/orders"]
    plugins:
    - name: jwt
      config:
        secret_is_base64: false
        claims_to_verify: ["exp", "nbf"]
        key_claim_name: "iss"
        run_on_preflight: true
        maximum_expiration: 3600  # max 1 heure d'expiration

2. Authorization basique

Vérification de scopes ou rôles après authentification.

# Kong : enforcement de scopes JWT
plugins:
- name: openid-connect
  config:
    issuer: https://idp.example.test/.well-known/openid-configuration
    client_id: orders-api
    scopes_required: ["read:orders"]
    consumer_claim: "sub"
    upstream_headers_claims: ["email", "roles", "scope"]

L'autorisation fine-grained (BOLA, BFLA, BOPLA) reste typiquement dans le code applicatif, pas au gateway. Le gateway gère les scopes globaux et rôles génériques.

3. Rate limiting et throttling

Détaillé dans l'article dédié rate limiting. Le gateway centralise typiquement :

Rate limit per IP (DDoS volumique).
Rate limit per consumer/user/API key.
Rate limit per endpoint.
Throttling (lissage) pour protection downstream.

Exemple Kong rate-limiting plugin :

plugins:
- name: rate-limiting
  config:
    second: 10           # max 10 req/sec
    minute: 100          # max 100 req/min
    hour: 1000           # max 1000 req/heure
    policy: redis         # backend distribué
    redis_host: redis.internal
    redis_port: 6379
    fault_tolerant: true  # autorise si Redis down
    limit_by: consumer    # ou ip, credential, header

4. WAF intégré

Protection contre les attaques applicatives standards (OWASP Top 10 web).

Solutions phares :

Kong : plugins kong-plugin-modsecurity (port ModSecurity v3), plugin AWS WAF integration.
Apigee : Threat Protection policies (XML threat, JSON threat, regex protection).
AWS API Gateway : intégration native AWS WAF avec règles managed (AWS Managed Rules, OWASP Top 10).
Tyk : plugin WAF custom.
Gravitee : policies natives anti-XSS, anti-SQLi, regex matchers.

# AWS API Gateway avec AWS WAF Web ACL associée
WebACL:
  Type: AWS::WAFv2::WebACL
  Properties:
    Scope: REGIONAL
    Rules:
    - Name: AWSManagedRulesCommonRuleSet
      Statement:
        ManagedRuleGroupStatement:
          VendorName: AWS
          Name: AWSManagedRulesCommonRuleSet
      OverrideAction: { None: {} }
    - Name: AWSManagedRulesKnownBadInputsRuleSet
      Statement:
        ManagedRuleGroupStatement:
          VendorName: AWS
          Name: AWSManagedRulesKnownBadInputsRuleSet
      OverrideAction: { None: {} }

5. mTLS termination

Le gateway termine la connexion mTLS, valide le certificat client, transmet les attributs au backend via headers signés.

Configuration AWS API Gateway exemple :

# CloudFormation : Custom Domain Name avec mTLS
DomainName:
  Type: AWS::ApiGateway::DomainName
  Properties:
    DomainName: api.example.test
    SecurityPolicy: TLS_1_2
    EndpointConfiguration:
      Types: [REGIONAL]
    MutualTlsAuthentication:
      TruststoreUri: s3://my-truststore-bucket/clients-ca.pem
      TruststoreVersion: "1"

Le truststore S3 contient les CAs acceptées. Le client présente son certificat, AWS API Gateway valide contre le truststore, refuse si invalide ou absent (selon mode strict ou optional).

6. Request/response transformation

Sanitization, normalisation, masquage de données sensibles.

# Kong : plugin response-transformer pour masquer données sensibles
plugins:
- name: response-transformer
  config:
    remove:
      json:
      - "user.password_hash"
      - "user.ssn"
      - "user.internal_notes"
      - "credit_card.full_number"
    replace:
      json:
      - "credit_card.full_number:**** **** **** ####"  # masquage par défaut

7. Observabilité (logs, metrics, traces)

Centralisation des observability data pour audit et détection.

Type	Standards	Backends typiques
Logs structurés	JSON, Elastic Common Schema	Elastic Security, Splunk, Datadog Logs, Loki
Métriques	Prometheus exposition format	Prometheus + Grafana, Datadog Metrics
Traces distribuées	OpenTelemetry, W3C Trace Context	Jaeger, Tempo, Datadog APM, New Relic

Plugins typiques : Kong Prometheus exporter, AWS API Gateway CloudWatch Logs + Metrics, Apigee Analytics natif.

# Kong : plugin prometheus
plugins:
- name: prometheus
  config:
    per_consumer: true
    status_code_metrics: true
    latency_metrics: true
    bandwidth_metrics: true
    upstream_health_metrics: true

8. Bot management et anti-abuse

Détection et blocage des bots malveillants (scraping, credential stuffing, fraud).

Solutions :

Cloudflare Bot Management (en frontage du gateway) : ML-based, très efficace.
AWS WAF Bot Control : managed bot rules, intégration native API Gateway.
Imperva Advanced Bot Protection : leader marché bot management.
DataDome : spécialiste français bot management, intégration multi-gateway.
PerimeterX (HUMAN) : challenger ML-based.

Le gateway alone ne suffit pas pour les bots sophistiqués (résidentiels, fingerprint humain mimétique). Solution dédiée recommandée pour APIs publiques fortement exposées.

Solutions du marché 2026 comparées

Comparaison synthétique des solutions principales.

Open source self-hosted

Solution	Origine	Particularité	Modèle
Kong OSS	Mashape (acquis 2017), CNCF Sandbox	Le plus déployé OSS, plugins Lua riches, écosystème vaste	Apache 2.0, Enterprise payant
Tyk Community	UK 2014	UX admin moderne, GraphQL natif, dashboard	MPL 2.0, Enterprise SaaS
KrakenD	Espagne	Ultra-performant (Go, build immutable), config déclarative	Apache 2.0, Enterprise payant
Traefik Hub	France	Léger, K8s-native, configuration via labels Docker/K8s	MIT, Enterprise payant
Gravitee OSS	France	Européen RGPD-friendly, GraphQL natif, policies riches	Apache 2.0, Enterprise payant

Cloud managed (zéro-ops)

Solution	Provider	Pricing modèle	Particularité
AWS API Gateway	AWS	À l'usage (~3,50 $/M req REST)	Intégration AWS native, Lambda authorizer, WebSocket
Azure API Management	Azure	Tiers (Consumption gratuit jusqu'à 1M, Standard 850 €/mois)	Policies XML, intégration Azure Active Directory
Google Cloud Endpoints	GCP	À l'usage	Intégration Google Cloud, gRPC natif
Google Apigee X	Google	Sur devis enterprise	Leader Gartner MQ API Management, analytics avancés

Commercial enterprise

Solution	Vendor	Cible	Coût indicatif annuel
Kong Enterprise	Kong Inc	ETI à grands groupes	30 à 150 k€ selon noeuds
Tyk Enterprise	Tyk Technologies	Mid-market à enterprise	25 à 100 k€
Apigee	Google	Grands groupes	50 à 250 k€
MuleSoft Anypoint	Salesforce	Grands groupes Salesforce	100 k€+
WSO2 API Manager	WSO2	Grands groupes, banking	50 à 200 k€
IBM API Connect	IBM	Très grands groupes	Sur devis

Choix selon contexte 2026

Contexte	Choix typique
Scale-up tech moderne, équipe DevOps autonome	Kong OSS ou KrakenD
Cloud AWS-centric, zéro ops souhaité	AWS API Gateway
Cloud Azure-centric	Azure API Management
ETI européenne RGPD-sensible	Gravitee, Tyk, Kong OSS auto-hébergés en EU
Grand groupe avec budget enterprise	Apigee, Kong Enterprise, MuleSoft
Banking, finance avec compliance strict	Kong Enterprise + Apigee + WSO2
Microservices Kubernetes pure	Traefik, Kong Ingress Controller, Istio Gateway

Architecture de déploiement type

Déploiement HA recommandé pour production critique 2026.

                    ┌──────────────────────────┐
                    │   Internet (clients)     │
                    └────────────┬─────────────┘
                                 │
                                 ▼
                    ┌──────────────────────────┐
                    │  CDN (Cloudflare,        │
                    │  CloudFront, Akamai)     │
                    │  + DDoS protection       │
                    │  + Bot management        │
                    └────────────┬─────────────┘
                                 │
                                 ▼
                    ┌──────────────────────────┐
                    │  WAF dédié (optionnel)   │
                    │  Cloudflare WAF, AWS WAF │
                    └────────────┬─────────────┘
                                 │
                                 ▼
                    ┌──────────────────────────┐
                    │  Load Balancer (NLB/ALB) │
                    │  TLS termination         │
                    └────────────┬─────────────┘
                                 │
                ┌────────────────┴────────────────┐
                ▼                ▼                ▼
       ┌─────────────┐  ┌─────────────┐  ┌─────────────┐
       │ Gateway     │  │ Gateway     │  │ Gateway     │
       │ Instance 1  │  │ Instance 2  │  │ Instance 3  │
       └──────┬──────┘  └──────┬──────┘  └──────┬──────┘
              │                │                │
              └────────────────┼────────────────┘
                               │ Backend privé
                               ▼ (réseau interne, security group strict)
                    ┌──────────────────────────┐
                    │  Backend Services        │
                    │  (Microservices, K8s)    │
                    └──────────────────────────┘

Composants critiques

CDN en frontage : absorption DDoS volumique avant le gateway.
WAF dédié (optionnel) : protection avancée pour APIs très exposées.
Load balancer L4/L7 : distribution trafic vers instances gateway HA.
3+ instances gateway : pas de SPOF, scale horizontal selon charge.
Configuration centralisée : Git + GitOps pour reproducibilité.
Backend privé : security group / network policies strictes pour empêcher bypass du gateway.

Déploiement Kong via Kubernetes Operator

apiVersion: gateway-operator.konghq.com/v1beta1
kind: GatewayConfiguration
metadata:
  name: kong-prod
spec:
  controlPlaneOptions:
    deployment:
      replicas: 3
  dataPlaneOptions:
    deployment:
      replicas: 3
      podTemplateSpec:
        spec:
          containers:
          - name: proxy
            resources:
              requests:
                cpu: 1
                memory: 1Gi
              limits:
                cpu: 2
                memory: 2Gi

Anti-patterns fréquents

Cinq écueils observés sur les déploiements API gateway en France 2024-2026.

1. Backend exposé en parallèle du gateway

L'erreur la plus critique. Le backend est accessible directement (par exemple : exposé sur Internet via load balancer parallèle, ou réseau interne accessible) sans passer par le gateway. Toutes les défenses du gateway sont contournées trivialement.

Défense : bind backend strictement privé. Réseau interne avec security groups / network policies refusant tout trafic entrant sauf depuis les IPs des instances gateway.

# Kubernetes : NetworkPolicy refusant tout trafic vers backend sauf depuis gateway
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-only-from-gateway
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend-api
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: kong
      podSelector:
        matchLabels:
          app: kong-gateway
    ports:
    - protocol: TCP
      port: 8080

2. Single Point of Failure (SPOF)

Déploiement gateway non-HA = downtime gateway = downtime APIs. Un gateway buggé, un patch raté, un crash → toutes les APIs deviennent inaccessibles.

Défense : minimum 3 instances en HA derrière load balancer, déployées sur AZ distinctes, avec health checks et failover automatique. Tests de chaos engineering pour valider failover.

3. Sur-confiance dans le gateway

Les développeurs supposent que toutes les défenses sont au gateway et négligent les contrôles applicatifs. Le gateway gère les scopes globaux mais pas BOLA (qui requiert connaissance objet par objet).

Défense : architecture de sécurité documentée explicitement avec responsabilités gateway vs backend. Code reviews vérifient les contrôles d'autorisation backend. Pentest régulier qui audite les deux couches.

4. Plugin sprawl non audité

Ajout progressif de plugins tiers sans review sécurité. Plugin compromis ou vulnérable = compromission gateway = compromission de toutes les APIs.

Défense : inventaire trimestriel des plugins déployés, allowlist explicite des plugins approuvés, audit sécurité avant ajout d'un nouveau plugin externe (préférer plugins officiels Kong/Tyk Enterprise quand possible).

5. Logs gateway non ingérés en SIEM

Les logs gateway contiennent des événements précieux pour la détection (rate limiting déclenché, auth échouée, patterns anormaux) mais restent dans le gateway sans intégration SIEM. Audit perdu, détection d'attaques impossible.

Défense : pipeline systématique gateway → SIEM (Elastic Security, Splunk, Sentinel, Datadog Security). Règles de détection basées sur les patterns gateway (bursts d'auth failures, geo anomalies, etc.).

Hardening de l'API gateway lui-même

Le gateway protège les backends, mais lui-même nécessite hardening.

Patch management

Patch management agressif sur le gateway lui-même.
Inscription aux security advisories vendor (Kong CVE, AWS Health, Apigee security bulletins).
Patch sous 7 jours pour CVE critique gateway.
Test patches en staging avant production.

Configuration durcie

Désactivation des fonctionnalités non utilisées (réduction surface d'attaque).
Plugins minimaux (allowlist).
Admin API non exposée Internet (RBAC strict, IP allowlist).
TLS 1.3 obligatoire entrée et sortie.
Headers de sécurité standards (HSTS, CSP, X-Content-Type-Options).

Authentification admin

MFA obligatoire pour tout admin.
RBAC fin (séparation operator vs auditor vs admin).
Audit logs admin centralisés.
Rotation des credentials admin trimestrielle.

Réseau

Gateway dans un VPC dédié, segmentation des autres workloads.
Egress filtré (pas d'accès Internet sortant non nécessaire).
Bastion host pour accès admin SSH.

Secrets management

Pas de secrets en clair dans la configuration gateway.
Intégration secret manager (HashiCorp Vault, AWS Secrets Manager) pour les credentials backend, certificats TLS, tokens admin.

Patterns d'usage avancés

Trois patterns observés en organisations matures 2026.

Pattern 1 — Multi-gateway pour multi-tenant

Une instance gateway par tenant ou par segment (par exemple : gateway public B2C + gateway B2B partner + gateway interne). Isolation forte mais coût opérationnel multiplié. Adapté aux grandes organisations avec besoins distincts.

Pattern 2 — Gateway + service mesh (architecture mature)

API Gateway en frontage Internet (North-South) + service mesh pour interne microservices (East-West). Pattern mature 2026 :

Trafic externe : CDN → WAF → API Gateway → premier backend.
Trafic interne : service mesh (Istio, Linkerd) avec mTLS auto, policies AuthorizationPolicy fine-grained.

Pattern 3 — Gateway as code (GitOps)

Configuration gateway versionnée en Git, déploiement automatique via GitOps (ArgoCD, Flux). Avantages : auditabilité, rollback, peer review des changements de configuration.

# Exemple : Kong Ingress Controller + Kong Gateway en GitOps
# Tout change config = PR → CI tests → merge → ArgoCD sync → production

Points clés à retenir

L'API Gateway centralise 8 fonctions sécurité transverses : authentification, autorisation, rate limiting, WAF intégré, mTLS termination, transformation/sanitization, observabilité, bot management. Libère les backends de ces responsabilités.
Distinction critique : API Gateway pour North-South (trafic externe Internet → backend), Service Mesh pour East-West (microservices interne). Pattern moderne combine les deux.
Solutions 2026 : Kong OSS dominant pour scale-up DevOps, AWS API Gateway pour cloud AWS-centric, Apigee/MuleSoft pour grands groupes, Gravitee/Tyk pour mid-market européen RGPD-sensible.
Architecture HA obligatoire : 3+ instances derrière load balancer, CDN + WAF en frontage pour APIs très exposées, backend privé strict pour empêcher bypass gateway.
Anti-patterns à éviter : backend exposé en parallèle (toutes défenses contournées), SPOF (downtime), sur-confiance (négligence contrôles applicatifs BOLA), plugin sprawl, logs non ingérés SIEM.

Pour aller plus loin

Qu'est-ce que la sécurité des API - vue d'ensemble de la discipline API security incluant le rôle gateway.
Rate limiting : pourquoi et comment - fonctionnalité gateway clé détaillée.
Authentification d'API : les bases - mécanismes d'auth implémentés au gateway.
Méthodologie de pentest API - audit offensif des APIs incluant tests de bypass gateway.

Questions fréquentes

Quelle différence entre API gateway, reverse proxy et service mesh ?
Reverse proxy (Nginx, HAProxy, Traefik) : couche réseau générique HTTP/HTTPS qui route les requêtes vers backends, gère TLS termination, load balancing basique. API gateway (Kong, Apigee, AWS API Gateway) : reverse proxy spécialisé API avec fonctionnalités API-aware (auth, rate limiting, transformation, observabilité, portail développeur). Service mesh (Istio, Linkerd, Consul Connect) : infrastructure pour communications service-to-service (East-West) avec mTLS automatique, policy d'autorisation, observabilité. Pattern 2026 : API gateway en frontage Internet (North-South traffic) + service mesh pour interne microservices (East-West traffic). Les deux complémentaires.
API gateway open source ou managé cloud ?
Trois options. 1) Open source (Kong OSS, Tyk Community, KrakenD, Traefik) : contrôle total, gratuit, déploiement Kubernetes ou VM. Convient aux équipes DevOps autonomes. Coût opérationnel : 0,3 à 0,5 ETP pour maintenir HA, patches, monitoring. 2) Cloud managé (AWS API Gateway, Azure API Management, Google Cloud Endpoints) : pas d'ops, paiement à l'usage, intégration native cloud. Convient aux organisations cloud-native qui veulent zéro opérationnel. Coût : variable selon volume. 3) Commercial self-hosted ou SaaS (Kong Enterprise, Apigee, Tyk Cloud) : fonctionnalités enterprise (analytics, RBAC fin, support SLA), pour grandes organisations avec budgets. Choix typique 2026 : Kong OSS pour scale-up tech, AWS API Gateway pour cloud AWS-centric, Apigee pour grands groupes.
L'API gateway peut-il remplacer un WAF dédié ?
Partiellement. La majorité des API gateways modernes intègrent des fonctionnalités WAF basiques : règles OWASP CRS (Core Rule Set), filtrage SQL injection, XSS, command injection, plus rate limiting. Kong AWS Plugin Marketplace, Tyk WAF, Apigee Threat Protection. Pour la plupart des APIs B2B avec trafic légitime, c'est suffisant. Pour les APIs très exposées (B2C public, banking, e-commerce critique), un WAF dédié spécialisé (Cloudflare, AWS WAF, Imperva, F5 BIG-IP, Akamai Kona) en frontage du gateway apporte : règles propriétaires plus avancées, threat intelligence en temps réel, bot management sophistiqué, DDoS protection volumique. Pattern type production critique : CDN + WAF dédié → API Gateway → Backend.
Comment configurer mTLS sur un API gateway ?
Trois patterns selon le besoin. 1) mTLS termination au gateway : le gateway valide le certificat client X.509, transmet les attributs (DN, fingerprint) au backend via headers signés. Pattern le plus fréquent. 2) mTLS pass-through : le gateway transmet le handshake TLS au backend sans terminer (utilisé quand le backend doit valider le cert lui-même). 3) mTLS sur les liens internes uniquement (gateway → backend), avec auth standard (JWT, OAuth) pour les clients externes. Configuration Kong exemple : plugin mtls-auth avec CA configurée, refus si certificat absent ou invalide. AWS API Gateway : ARN d'un truststore S3 contenant les CA acceptées. Recommandation FAPI 2.0 banking : mTLS pass-through avec validation backend pour preuve cryptographique de bout en bout.
Quels pièges éviter avec un API gateway ?
Cinq écueils observés. 1) Backend exposé en parallèle du gateway : si le backend est accessible directement sans passer par le gateway, toutes les défenses du gateway sont contournées. Bind backend privé strict (réseau interne uniquement, security groups restrictifs). 2) Gateway monolithique single point of failure : déploiement sans HA = downtime gateway = downtime APIs. Minimum 3 instances HA derrière load balancer. 3) Sur-confiance dans le gateway : développeurs supposent que toutes les défenses sont au gateway et négligent les contrôles backend (BOLA, business logic). 4) Plugin sprawl non audité : ajout de plugins tiers sans review sécurité. Audit annuel des plugins déployés. 5) Logs gateway non ingérés en SIEM : audit perdu, détection d'attaques impossible. Centraliser systématiquement vers SIEM (Elastic, Splunk, Sentinel).
Quel est le coût d'un API gateway en 2026 ?
Variable selon solution et volume. Open source self-hosted (Kong OSS, Tyk Community, KrakenD, Traefik) : gratuit en licence, coût opérationnel 0,3 à 0,5 ETP DevOps. AWS API Gateway : environ 3,50 $ par million de requêtes REST API + transferts de données. Pour 100M req/mois : environ 350 $/mois en API calls + bande passante. Azure API Management : tier Consumption gratuit jusqu'à 1M calls/mois puis paiement à l'usage, tier Standard 850 €/mois. Apigee : tarification entreprise sur devis, typiquement 50 à 200 k€ annuels selon volume. Kong Enterprise : 30 à 150 k€ annuels selon nombre de noeuds. Pour démarrer en 2026 : Kong OSS + AWS Application Load Balancer en frontage = capable de scaler à 100M req/mois pour environ 500 €/mois infrastructure.

Découvrir la formation OWASP Web Security

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

Questions fréquentes

Naim Aouaichia

À lire également

Qu'est-ce que la sécurité des API en 2026 ? Guide complet

Rate limiting : pourquoi et comment en 2026

Authentification d'API : les bases en 2026

Méthodologie de pentest API 2026 : guide complet