Considerazioni sulla sicurezza per l'acceleratore di zona di destinazione Gestione API

Questo articolo fornisce considerazioni sulla progettazione e consigli per la sicurezza quando si usa l'acceleratore di zona di destinazione Gestione API. La sicurezza riguarda più aspetti, tra cui la protezione delle API front-end, la protezione dei back-end e la protezione del portale per sviluppatori.

Altre informazioni sull'area di progettazione della sicurezza .

Considerazioni relative alla progettazione

• Valutare come si vogliono proteggere le API front-end oltre a usare le chiavi di sottoscrizione. OAuth 2.0, OpenID Connessione e TLS reciproco sono opzioni comuni con il supporto predefinito.
• Si pensi a come si vogliono proteggere i servizi back-end dietro Gestione API. I certificati client e OAuth 2.0 sono due opzioni supportate.
• Considerare quali protocolli client e back-end e crittografie sono necessari per soddisfare i requisiti di sicurezza.
• Prendere in considerazione Gestione API criteri di convalida per convalidare le richieste e le risposte dell'API REST o SOAP rispetto agli schemi definiti nella definizione dell'API o caricati nell'istanza. Questi criteri non sono una sostituzione di un web application firewall, ma possono fornire protezione aggiuntiva da alcune minacce.

  Nota

  L'aggiunta di criteri di convalida può avere implicazioni sulle prestazioni, quindi è consigliabile valutare l'impatto sulla velocità effettiva dell'API.

• Considerare quali provider di identità oltre a Microsoft Entra ID devono essere supportati.

Suggerimenti per la progettazione

• Distribuire un web application firewall (WAF) davanti a Gestione API per proteggersi da exploit e vulnerabilità comuni delle applicazioni Web.
• Usare Azure Key Vault per archiviare e gestire in modo sicuro i segreti e renderli disponibili tramite valori denominati in Gestione API.
• Creare un'identità gestita assegnata dal sistema in Gestione API per stabilire relazioni di trust tra il servizio e altre risorse protette da Microsoft Entra ID, inclusi Key Vault e i servizi back-end.
• Le API devono essere accessibili solo tramite HTTPS per proteggere i dati in transito e garantirne l'integrità.
• Usare la versione più recente di TLS durante la crittografia delle informazioni in transito. Disabilitare protocolli e crittografie obsoleti e non necessari, quando possibile.

Presupposti su scala aziendale

Di seguito sono riportati i presupposti che sono andati allo sviluppo dell'acceleratore di zona di destinazione Gestione API:

• Configurazione del gateway di app Azure lication come WAF.
• Protezione dell'istanza di Gestione API in una rete virtuale che controlla la connettività interna ed esterna.

Passaggi successivi

• Per altre indicazioni sulla protezione degli ambienti Gestione API, vedere Baseline di sicurezza di Azure per Gestione API.