Consideraciones de seguridad para el acelerador de zonas de aterrizaje de API Management

  • Artículo

Este artículo proporciona consideraciones de diseño y recomendaciones para la seguridad en el acelerador de zonas de aterrizaje de API Management. La seguridad abarca varios aspectos, incluida la protección de las API de front-end, los recursos de back-end y del portal para desarrolladores.

Más información sobre el área de diseño de seguridad.

Consideraciones de diseño

  • Considere cómo quiere proteger las API de front-end más allá del uso de las claves de suscripción. OAuth 2.0, OpenID Conectar y TLS mutuo son opciones comunes con compatibilidad integrada.
  • Piense en cómo quiere proteger los servicios de back-end detrás de API Management. Los certificados de cliente y OAuth 2.0 son dos opciones compatibles.
  • Tenga en cuenta qué protocolos y cifrados de cliente y back-end son necesarios para cumplir los requisitos de seguridad.
  • Use directivas de validación de API Management para validar las solicitudes y respuestas de API de REST o SOAP con esquemas definidos en la definición de API o cargados en la instancia. Estas directivas no son un reemplazo de Web Application Firewall, pero pueden proporcionar protección adicional contra algunas amenazas.

    Nota

    La adición de directivas de validación puede tener implicaciones en el rendimiento, por lo que se recomiendan pruebas de carga de rendimiento para evaluar su impacto en la API.

  • Tenga en cuenta qué proveedores de identidades deben admitirse, además de Microsoft Entra ID.

Recomendaciones de diseño

  • Implemente Web Application Firewall (WAF) delante de API Management para protegerse de las vulnerabilidades de seguridad comunes de las aplicaciones web.
  • Use Azure Key Vault para almacenar y administrar secretos de forma segura y ponerlos a disposición a través de valores con nombre en API Management.
  • Cree una identidad administrada asignada por el sistema en API Management para establecer relaciones de confianza entre el servicio y otros recursos protegidos por Microsoft Entra ID, incluidos los servicios de Key Vault y back-end.
  • Las API solo deben ser accesibles a través de HTTPS para proteger los datos en tránsito y garantizar su integridad.
  • Use la versión más reciente de TLS al cifrar la información en tránsito. Deshabilite protocolos y cifrados obsoletos e innecesarios siempre que sea posible.

Suposiciones de la escala empresarial

Las siguientes son suposiciones que se han tenido en cuenta en el desarrollo del acelerador de zonas de aterrizaje de API Management:

  • Configuración de Azure Application Gateway como WAF.
  • Protección de la instancia de API Management en una red virtual que controla la conectividad interna y externa.

Pasos siguientes