【CaaS平台化关键技术：集团式APIM】云地混合APIM实现技术共享，更是异业结盟多元化关键

对金融业而言，API不是新技术，尤其随着金融科技、开放银行浪潮，全球开始出现大量金融类API。国泰金控用API来打造生态圈平台，目的是为了提供一种可以提供不同场景下多元金融服务的模式。

因为CaaS平台的技术底层就是APIM（API Mediation），国泰金控表示，透过这样的APIM层，CaaS平台可以整合旗下所有子公司的金融产品服务，建立统一对外服务窗口（也就是API入口网站），来建立一种标准化的技术共享模式，实现技术交流的整合。

因此，CaaS平台就可以让国泰和TSP们，透过技术共享模式和技术整合，取得各自所需的金融服务和相关应用资料，建立合作伙伴关系，对国泰金控而言，更可以借此来发展非金融场域的金融业务，来扩大生态圈的触角。

CaaS提供了一种新型态商业金融服务，在CaaS上提供企业合作入口服务，进而展开业务洽谈，达成合作计划后，将需求转交给IT开发出API服务，再利用透过APIM管理，建立完整API生命周期管理，再进行API串接，完成API快速部署，来实现异业合作的流畅体验。甚至可以说，从消费端顾客体验出发寻找新服务模式，再透过API结合，才能发展出异业结盟体系，这是金融API对国泰带来的核心价值。

技术过去是金融服务配角，但在CaaS平台，技术是主角

从这个角度来看，“过去金融服务中，技术是配角，但是现在（CaaS平台上），技术是主角。”国泰金控数位架构部一位主管强调。

在技术架构上，CaaS就是在API使用者（开发者端）和API提供者（如国泰各子公司）和API消费者（消费端App）之间，规划出一层API中介层，再透过妥善定义的API界面，来进行服务或业务逻辑串接。

这么设计的好处是，当后端服务或业务逻辑异动时，只要API界面没有异动，就不会实际影响到API消费端者的使用，可以实现高可用性、敏捷性、可扩充性和安全性的特性，另一方面，能在数据交换时进行分析，来监控和分析各种流量、使用者行为和安全情况。

利用APIM建立API生命周期管理

CaaS平台采用了Apigee这套APIM管理平台来实现API中介层的管理功能，包括了API生命周期，API政策管理、API闸道器、API分析器等。Apigee还提供了一套API设计机制，支援Swagger 2.0和3.0版，可以用来建构出业务资料流程，而且采取设定方式能快速组合API。利用这样的API快速组装能力，可以提供客制化API，来因应不同异业的需求，也能加快业务上市时间，例如以国泰人寿为例，目前上架一个API只需要 2天时间。

而在API安全控管上，国泰看重的特色是可以提供端到端防护机制，例如恶意API防护、存取控管，资料安全上则提供凭证、签章管理、资料加密机制，OAuth验证等。

在API发布机制上，不只可以部署，也能将API包装成对外提供的产品。监控机制上则可以集中控管所有API活动，以视觉化方式来呈现API交易活动和效能，也能主动辨识异常发布警告。另外，API分析包括了系统资源瓶颈和错误率、网络延迟等，也能提供视觉化图表和数据，来分析API使用趋势，来发展API可能的商业价值。这套APIM底层则采用Anthos的K8s架构，可以透过容器实现快速扩充的能力。

图片来源／国泰金控

国泰利用Apigee Runtime plane来进行各子公司API闸道器环境的切分，能在本地端进行API政策和安全规范的定义，可将跨集团都要适用的共用API规则，来要求各子公司遵循。

APIM采用云地混合架构，在本地端落实各产业法遵和子公司治理

不过，对金融公司而言，API是一种需要保护和管理的资产。因此，国泰CaaS平台所用的APIM也采用了云地混合的混合云架构，在云端提供API入口网站、API分析和监控机制，还有存取权限管理。但在地端则透过Apigee Runtime来提供API政策管理、API闸道器API授权和API安全管理。尤其是透过这个Runtime，可以在本地端的内网环境中，连结各子公司的API服务或API闸道器，来符合-法规要求。

国泰也利用Apigee Runtime plane来进行各子公司API闸道器环境的切分，也能在本地端进行API政策和安全规范的定义。这么做的好处是，不只是可以将跨集团都要适用的共用API规则，来要求各子公司遵循，还能让各子公司依据各自不同产业主管机关的要求，或是各自公司治理规范的需求，来订定出各自需要的API控管机制。这样的云地架构设计的APIM平台，可以让CaaS平台同时兼顾全集团通用管理规范，又能满足各子公司客制化规范的需求。

目前CaaS平台在国泰世华银行和金控端各有一套云地架构的APIM平台，目前寿险和产险子公司则利用金控APIM环境来切分出独立的API入口网站。两套APIM平台之间会互相串接，当有新的API上架到中一套平台后，也会自动部署到另外一套APIM平台上。根据国泰内部统计，目前在银行端CaaS平台每日平均交易量达到3千多万笔，每周平均可以上架45～50次API的部署频率。

采用云地混合架构还有另一个更长远的好处是，未来CaaS若考虑要发展到东南亚，采取地云混合架构的APIM，也能用来因应各国各自不同的监理规范。

在CaaS对外入口网站上，APIM前端平台提供了一个统一的API服务平台，包括了API申请，金钥发放，以及相关的业务洽谈机制，更提供了过往合作案例，让业者可以参考可行的合作商机。TSP和国泰确认API合作计划后，会取得API金钥，就能直接在CaaS的API平台上取用API，也能查阅相关服务的技术文件资料。有了对外统一的CaaS入口平台，可以省下集团和其伙伴的时间跟资源。

不过，国泰金控数位生态发展部襄理陈弘皓指出，目前APIM技术架构上，没有进行资料共享，虽然透过API入口网站经营合作伙伴，但来自异业取得的顾客资料，会直接进入各子公司对应的业务单位，资料保留在子公司，而不会进入金控场域，来确保适法性。

图片来源／国泰金控

国泰CaaS平台采用了云地混合的APIM混合云架构，在云端提供API入口网站、分析和监控、存取权限管理。在地端则透过Apigee Runtime来提供政策管理、API闸道器、授权和安全管理。