Considérations relatives à la sécurité pour l’accélérateur de zone d’atterrissage Gestion des API

Cet article fournit des considérations et des recommandations relatives à la conception pour la sécurité lors de l’utilisation de l’accélérateur de zone d’atterrissage Gestion des API. La sécurité couvre plusieurs aspects, notamment la sécurisation des API front-end, la sécurisation des back-ends et la sécurisation du portail des développeurs.

En savoir plus sur la zone de conception de la sécurité.

Remarques relatives à la conception

• Réfléchissez à la manière dont vous souhaitez sécuriser vos API front-end sans utiliser des clés d’abonnement. OAuth 2.0, OpenID Connecter et Protocole TLS mutuel sont des options courantes avec prise en charge intégrée.
• Réfléchissez à la manière dont vous souhaitez protéger vos services back-end derrière Gestion des API. Les certificats clients et OAuth 2.0 sont deux options prises en charge.
• Tenez compte des protocoles et chiffrements back-end et clients requis pour répondre à vos exigences de sécurité.
• Envisagez d’utiliser des stratégies de validation Gestion des API pour valider les demandes et réponses de l’API REST ou SOAP sur les schémas définis dans la définition de l’API ou chargés dans l’instance. Ces stratégies ne constituent pas un remplacement pour un pare-feu d’applications web, mais peuvent fournir une protection supplémentaire contre certaines menaces.

  Notes

  L’ajout de stratégies de validation peut avoir des répercussions sur les performances. Nous vous recommandons donc de réaliser des tests de charge de performances pour évaluer leur impact sur le débit de l’API.

• Considérez quels fournisseurs d’identité en plus de Microsoft Entra ID doivent être pris en charge.

Recommandations de conception

• Déployez un pare-feu d’applications web (WAF) devant Gestion des API pour vous protéger contre les attaques et vulnérabilités courantes des applications web.
• Utilisez Azure Key Vault pour stocker et gérer en toute sécurité les secrets et les rendre disponibles via des valeurs nommées dans Gestion des API.
• Créez une identité managée affectée par le système dans Gestion des API pour établir des relations d’approbation entre le service et d’autres ressources protégées par Microsoft Entra ID, notamment Key Vault et les services principaux.
• Les API doivent uniquement être accessibles via HTTPS pour protéger les données en transit et garantir leur intégrité.
• Utilisez la dernière version du protocole TLS lors du chiffrement des informations en transit. Désactivez les protocoles et les chiffrements obsolètes et inutiles si possible.

Hypothèses à l’échelle de l’entreprise

Voici des hypothèses relatives au développement de l’accélérateur de zone d’atterrissage Gestion des API :

• Configuration d’Azure Application Gateway en tant que pare-feu d’applications web.
• Protection de l’instance Gestion des API dans un réseau virtuel qui contrôle la connectivité interne et externe.

Étapes suivantes

• Consultez la ligne de base de sécurité Azure pour Gestion des API pour obtenir des conseils supplémentaires sur la sécurisation de vos environnements Gestion des API.