مشاركة عبر

اعتبارات الأمان لمسرع المنطقة المنتقل إليها لإدارة واجهة برمجة التطبيقات

  • مقالة

توفر هذه المقالة اعتبارات التصميم والتوصيات للأمان عند استخدام مسرع المنطقة المنتقل إليها لإدارة واجهة برمجة التطبيقات. يغطي الأمان جوانب متعددة بما في ذلك تأمين واجهات برمجة التطبيقات الأمامية وتأمين الواجهات الخلفية وتأمين مدخل المطور.

تعرف على المزيد حول منطقة تصميم الأمان .

اعتبارات التصميم

  • ضع في اعتبارك الطريقة التي تريد بها تأمين واجهات برمجة التطبيقات الأمامية بعد استخدام مفاتيح الاشتراك. OAuth 2.0 وOpenID Connect وTLS المتبادل هي خيارات شائعة مع دعم مضمن.
  • فكر في الطريقة التي تريد بها حماية خدمات الواجهة الخلفية خلف APIM. شهادات العميلوOAuth 2.0 خياران مدعومان.
  • ضع في اعتبارك بروتوكولات العميل والواجهة الخلفية والشفرات المطلوبة لتلبية متطلبات الأمان الخاصة بك.
  • ضع في اعتبارك نهج التحقق من صحة APIM للتحقق من صحة طلبات واجهة برمجة تطبيقات REST أو SOAP والاستجابات مقابل المخططات المحددة في تعريف واجهة برمجة التطبيقات أو تحميلها إلى المثيل. هذه النهج ليست بديلا لجدار حماية تطبيق الويب ولكن يمكن أن توفر حماية إضافية ضد بعض التهديدات.

    ملاحظة

    يمكن أن يكون لإضافة نهج التحقق من الصحة آثار على الأداء، لذلك نوصي باختبارات تحميل الأداء لتقييم تأثيرها على معدل نقل واجهة برمجة التطبيقات.

  • ضع في اعتبارك موفري الهوية بالإضافة إلى Azure AD بحاجة إلى الدعم.

توصيات التصميم

  • نشر جدار حماية تطبيق الويب (WAF) أمام APIM للحماية من عمليات استغلال تطبيق الويب الشائعة ونقاط الضعف.
  • استخدم Azure Key Vault لتخزين البيانات السرية وإدارتها بأمان وإتاحتها من خلال القيم المسماة في APIM.
  • إنشاء هوية مدارة معينة من قبل النظام في APIM لإنشاء علاقات ثقة بين الخدمة والموارد الأخرى المحمية بواسطة Azure Active Directory، بما في ذلك خدمات Key Vault والواجهة الخلفية.
  • يجب أن تكون واجهات برمجة التطبيقات متاحة فقط عبر HTTPS لحماية البيانات أثناء النقل وضمان تكاملها.
  • استخدم أحدث إصدار من TLS عند تشفير المعلومات أثناء النقل. تعطيل البروتوكولات والشفرات القديمة وغير الضرورية عندما يكون ذلك ممكنا.

افتراضات نطاق المؤسسة

فيما يلي الافتراضات التي دخلت في تطوير مسرع المنطقة المنتقل إليها لإدارة واجهة برمجة التطبيقات:

  • تكوين بوابة تطبيق Azure ك WAF.
  • حماية مثيل APIM في شبكة ظاهرية تتحكم في الاتصال الداخلي والخارجي.

الخطوات التالية