【CaaS平臺化關鍵技術：集團式APIM】雲地混合APIM實現技術共享，更是異業結盟多元化關鍵

對金融業而言，API不是新技術，尤其隨著金融科技、開放銀行浪潮，全球開始出現大量金融類API。國泰金控用API來打造生態圈平臺，目的是為了提供一種可以提供不同場景下多元金融服務的模式。

因為CaaS平臺的技術底層就是APIM（API Management），國泰金控表示，透過這樣的APIM層，CaaS平臺可以整合旗下所有子公司的金融產品服務，建立統一對外服務窗口（也就是API入口網站），來建立一種標準化的技術共享模式，實現技術交流的整合。

因此，CaaS平臺就可以讓國泰和TSP們，透過技術共享模式和技術整合，取得各自所需的金融服務和相關應用資料，建立合作夥伴關係，對國泰金控而言，更可以藉此來發展非金融場域的金融業務，來擴大生態圈的觸角。

CaaS提供了一種新型態商業金融服務，在CaaS上提供企業合作入口服務，進而展開業務洽談，達成合作計畫後，將需求轉交給IT開發出API服務，再利用透過APIM管理，建立完整API生命周期管理，再進行API串接，完成API快速部署，來實現異業合作的流暢體驗。甚至可以說，從消費端顧客體驗出發尋找新服務模式，再透過API結合，才能發展出異業結盟體系，這是金融API對國泰帶來的核心價值。

技術過去是金融服務配角，但在CaaS平臺，技術是主角

從這個角度來看，「過去金融服務中，技術是配角，但是現在（CaaS平臺上），技術是主角。」國泰金控數位架構部一位主管強調。

在技術架構上，CaaS就是在API使用者（開發者端）和API提供者（如國泰各子公司）和API消費者（消費端App）之間，規畫出一層API中介層，再透過妥善定義的API介面，來進行服務或業務邏輯串接。

這麼設計的好處是，當後端服務或業務邏輯異動時，只要API介面沒有異動，就不會實際影響到API消費端者的使用，可以實現高可用性、敏捷性、可擴充性和安全性的特性，另一方面，能在數據交換時進行分析，來監控和分析各種流量、使用者行為和安全情況。

利用APIM建立API生命周期管理

CaaS平臺採用了Apigee這套APIM管理平臺來實現API中介層的管理功能，包括了API生命週期，API政策管理、API閘道器、API分析器等。Apigee還提供了一套API設計機制，支援Swagger 2.0和3.0版，可以用來建構出業務資料流程，而且採取設定方式能快速組合API。利用這樣的API快速組裝能力，可以提供客製化API，來因應不同異業的需求，也能加快業務上市時間，例如以國泰人壽為例，目前上架一個API只需要 2天時間。

而在API安全控管上，國泰看重的特色是可以提供端到端防護機制，例如惡意API防護、存取控管，資料安全上則提供憑證、簽章管理、資料加密機制，OAuth驗證等。

在API發布機制上，不只可以部署，也能將API包裝成對外提供的產品。監控機制上則可以集中控管所有API活動，以視覺化方式來呈現API交易活動和效能，也能主動辨識異常發布警告。另外，API分析包括了系統資源瓶頸和錯誤率、網路延遲等，也能提供視覺化圖表和數據，來分析API使用趨勢，來發展API可能的商業價值。這套APIM底層則採用Anthos的K8s架構，可以透過容器實現快速擴充的能力。

圖片來源／國泰金控

國泰利用Apigee Runtime plane來進行各子公司API閘道器環境的切分，能在本地端進行API政策和安全規範的定義，可將跨集團都要適用的共用API規則，來要求各子公司遵循。

APIM採用雲地混合架構，在本地端落實各產業法遵和子公司治理

不過，對金融公司而言，API是一種需要保護和管理的資產。因此，國泰CaaS平臺所用的APIM也採用了雲地混合的混合雲架構，在雲端提供API入口網站、API分析和監控機制，還有存取權限管理。但在地端則透過Apigee Runtime來提供API政策管理、API閘道器API授權和API安全管理。尤其是透過這個Runtime，可以在本地端的內網環境中，連結各子公司的API服務或API閘道器，來符合政府法規要求。

國泰也利用Apigee Runtime plane來進行各子公司API閘道器環境的切分，也能在本地端進行API政策和安全規範的定義。這麼做的好處是，不只是可以將跨集團都要適用的共用API規則，來要求各子公司遵循，還能讓各子公司依據各自不同產業主管機關的要求，或是各自公司治理規範的需求，來訂定出各自需要的API控管機制。這樣的雲地架構設計的APIM平臺，可以讓CaaS平臺同時兼顧全集團通用管理規範，又能滿足各子公司客製化規範的需求。

目前CaaS平臺在國泰世華銀行和金控端各有一套雲地架構的APIM平臺，目前壽險和產險子公司則利用金控APIM環境來切分出獨立的API入口網站。兩套APIM平臺之間會互相串接，當有新的API上架到中一套平臺後，也會自動部署到另外一套APIM平臺上。根據國泰內部統計，目前在銀行端CaaS平臺每日平均交易量達到3千多萬筆，每周平均可以上架45～50次API的部署頻率。

採用雲地混合架構還有另一個更長遠的好處是，未來CaaS若考慮要發展到東南亞，採取地雲混合架構的APIM，也能用來因應各國各自不同的監理規範。

在CaaS對外入口網站上，APIM前端平臺提供了一個統一的API服務平臺，包括了API申請，金鑰發放，以及相關的業務洽談機制，更提供了過往合作案例，讓業者可以參考可行的合作商機。TSP和國泰確認API合作計畫後，會取得API金鑰，就能直接在CaaS的API平臺上取用API，也能查閱相關服務的技術文件資料。有了對外統一的CaaS入口平臺，可以省下集團和其夥伴的時間跟資源。

不過，國泰金控數位生態發展部襄理陳弘皓指出，目前APIM技術架構上，沒有進行資料共享，雖然透過API入口網站經營合作夥伴，但來自異業取得的顧客資料，會直接進入各子公司對應的業務單位，資料保留在子公司，而不會進入金控場域，來確保適法性。

圖片來源／國泰金控

國泰CaaS平臺採用了雲地混合的APIM混合雲架構，在雲端提供API入口網站、分析和監控、存取權限管理。在地端則透過Apigee Runtime來提供政策管理、API閘道器、授權和安全管理。

2021/9/29更正啟事：原內文提到APIM的全名誤植，正確應為API Management。內文已更正。