Pertimbangan keamanan untuk akselerator zona pendaratan API Management

  • Artikel

Artikel ini memberikan pertimbangan desain dan rekomendasi untuk keamanan saat menggunakan akselerator zona pendaratan API Management. Keamanan mencakup beberapa aspek termasuk mengamankan API frontend, mengamankan backend, dan mengamankan portal pengembang.

Pelajari selengkapnya tentang area desain keamanan .

Pertimbangan Desain

  • Pertimbangkan bagaimana Anda ingin mengamankan API frontend Anda selain menggunakan kunci langganan. OAuth 2.0, OpenID Koneksi, dan TLS bersama adalah opsi umum dengan dukungan bawaan.
  • Pikirkan tentang bagaimana Anda ingin melindungi layanan backend Anda di belakang API Management. Sertifikat klien dan OAuth 2.0 adalah dua opsi yang didukung.
  • Pertimbangkan protokol dan sandi klien dan backend mana yang diperlukan untuk memenuhi persyaratan keamanan Anda.
  • Pertimbangkan kebijakan validasi API Management untuk memvalidasi permintaan dan respons REST atau SOAP API terhadap skema yang ditentukan dalam definisi API atau diunggah ke instans. Kebijakan ini bukan pengganti Web Application Firewall tetapi dapat memberikan perlindungan tambahan terhadap beberapa ancaman.

    Catatan

    Menambahkan kebijakan validasi dapat memiliki implikasi performa, jadi kami merekomendasikan pengujian beban performa untuk menilai dampaknya pada throughput API.

  • Pertimbangkan penyedia identitas mana selain ID Microsoft Entra yang perlu didukung.

Rekomendasi desain

  • Sebarkan Web Application Firewall (WAF) di depan API Management untuk melindungi dari eksploitasi dan kerentanan aplikasi web umum.
  • Gunakan Azure Key Vault untuk menyimpan dan mengelola rahasia dengan aman dan membuatnya tersedia melalui nilai bernama di API Management.
  • Buat identitas terkelola yang ditetapkan sistem di API Management untuk membangun hubungan kepercayaan antara layanan dan sumber daya lain yang dilindungi oleh ID Microsoft Entra, termasuk Key Vault dan layanan backend.
  • API hanya boleh diakses melalui HTTPS untuk melindungi data saat transit dan memastikan integritasnya.
  • Gunakan versi TLS terbaru saat mengenkripsi informasi saat transit. Nonaktifkan protokol dan sandi yang sudah kedaluarsa dan tidak perlu jika memungkinkan.

Asumsi skala perusahaan

Berikut ini adalah asumsi yang masuk ke pengembangan akselerator zona pendaratan API Management:

  • Konfigurasi Azure Application Gateway sebagai WAF.
  • Perlindungan instans API Management di VNet yang mengontrol konektivitas internal dan eksternal.

Langkah berikutnya