Megosztás a következőn keresztül:


Az API Management célzónagyorsító biztonsági szempontjai

Ez a cikk tervezési szempontokat és javaslatokat tartalmaz az API Management célzónagyorsító használatakor a biztonságra vonatkozóan. A biztonság több szempontot is magában foglal, például az előtérbeli API-k védelmét, a háttérrendszerek védelmét és a fejlesztői portál védelmét.

További információ a biztonsági tervezési területről.

Kialakítási szempontok

  • Gondolja át, hogyan szeretné biztonságossá tenni az előtér API-kat az előfizetési kulcsok használata mellett. Az OAuth 2.0, az OpenID Csatlakozás és a kölcsönös TLS gyakori lehetőségek a beépített támogatással.
  • Gondolja át, hogyan szeretné megvédeni háttérszolgáltatásait az API Management mögött. Az ügyféltanúsítványok és az OAuth 2.0 két támogatott lehetőség.
  • Fontolja meg, hogy mely ügyfél- és háttérprotokollokra és titkosításokra van szükség a biztonsági követelmények teljesítéséhez.
  • Fontolja meg az API Management érvényesítési szabályzatait a REST- vagy SOAP API-kérések és válaszok érvényesítéséhez az API-definícióban meghatározott vagy a példányra feltöltött sémák alapján. Ezek a szabályzatok nem helyettesítik a webalkalmazási tűzfalat, de további védelmet nyújthatnak bizonyos fenyegetések ellen.

    Megjegyzés:

    Az érvényesítési szabályzatok hozzáadása hatással lehet a teljesítményre, ezért teljesítménybetöltési teszteket ajánlunk az API átviteli sebességére gyakorolt hatásuk felméréséhez.

  • Fontolja meg, hogy a Microsoft Entra-azonosítón kívül mely identitásszolgáltatókat kell támogatni.

Tervezési javaslatok

  • Helyezzen üzembe egy webalkalmazási tűzfalat (WAF) az API Management előtt a webalkalmazások gyakori kihasználása és biztonsági rései elleni védelem érdekében.
  • Az Azure Key Vault használatával biztonságosan tárolhatja és kezelheti a titkos kulcsokat, és elérhetővé teheti őket nevesített értékekkel az API Managementben.
  • Hozzon létre egy rendszer által hozzárendelt felügyelt identitást az API Managementben a szolgáltatás és a Microsoft Entra ID által védett egyéb erőforrások, köztük a Key Vault és a háttérszolgáltatások közötti megbízhatósági kapcsolatok létrehozásához.
  • Az API-k csak HTTPS-en keresztül érhetők el az átvitt adatok védelme és integritásának biztosítása érdekében.
  • Használja a legújabb TLS-verziót az átvitt adatok titkosításához. Ha lehetséges, tiltsa le az elavult és szükségtelen protokollokat és titkosításokat.

Nagyvállalati skálázási feltételezések

Az API Management célzónagyorsító fejlesztésének előfeltételei a következők:

  • A Azure-alkalmazás-átjáró konfigurálása WAF-ként.
  • Az API Management-példány védelme egy olyan virtuális hálózaton, amely a belső és a külső kapcsolatot vezérli.

Következő lépések

  • Az API Management azure-beli biztonsági alapkonfigurációja további útmutatást nyújt az API Management-környezetek biztonságossá tételéhez.