API Management 랜딩 존 가속기의 보안 고려 사항
이 문서에는 API Management 랜딩 존 가속기 사용 시 보안에 대한 디자인 고려 사항과 권장 사항이 나와 있습니다. 보안은 프런트 엔드 API 보안, 백 엔드 보안, 개발자 포털 보안 등 여러 측면을 다룹니다.
보안 디자인 영역에 대해 자세히 알아봅니다.
디자인 고려 사항
- 구독 키를 사용하는 것 외에 프런트 엔드 API를 보호하는 방법을 고려합니다. OAuth 2.0, OpenID Connect 및 상호 TLS는 기본 제공 지원이 포함된 일반적인 옵션입니다.
- API Management 뒤에서 백 엔드 서비스를 보호하는 방법을 생각해 보세요. 클라이언트 인증서 및 OAuth 2.0은 지원되는 두 가지 옵션입니다.
- 보안 요구 사항을 충족하는 데 필요한 클라이언트 및 백 엔드 프로토콜 및 암호화를 고려합니다.
- API 정의에 정의되거나 인스턴스에 업로드된 스키마에 대한 REST 또는 SOAP API 요청 및 응답의 유효성을 검사하려면 API Management 유효성 검사 정책을 고려합니다. 이러한 정책은 Web Application Firewall을 대체하지 않지만 일부 위협에 대한 추가 보호를 제공할 수 있습니다.
참고 항목
유효성 검사 정책을 추가하면 성능에 영향을 미칠 수 있으므로 성능 부하 테스트를 통해 API 처리량에 미치는 영향을 평가하는 것이 좋습니다.
- 지원해야 하는 Microsoft Entra ID 외에 어떤 ID 공급자를 고려해야 합니다.
디자인 권장 사항
- 일반적인 웹 애플리케이션 악용 및 취약성으로부터 보호하기 위해 API Management 앞에 WAF(Web Application Firewall)를 배포합니다.
- Azure Key Vault를 사용하여 비밀을 안전하게 저장 및 관리하고 API Management에서 명명된 값을 통해 사용할 수 있도록 합니다.
- API Management에서 시스템 할당 관리 ID를 만들어 Key Vault 및 백 엔드 서비스를 포함하여 Microsoft Entra ID로 보호되는 서비스와 기타 리소스 간에 트러스트 관계를 설정합니다.
- API는 전송 중인 데이터를 보호하고 무결성을 보장하기 위해 HTTPS를 통해서만 액세스할 수 있어야 합니다.
- 전송 중인 정보를 암호화할 때는 최신 TLS 버전을 사용합니다. 가능하면 오래되고 불필요한 프로토콜 및 암호화를 사용하지 않도록 설정합니다.
엔터프라이즈 규모 가정
다음은 API Management 랜딩 존 가속기의 개발에 적용한 가정입니다.
- WAF로 Azure Application Gateway 구성
- 내부 및 외부 연결을 제어하는 VNet의 API Management 인스턴스 보호
다음 단계
- API Management 환경 보안에 대한 추가 지침은 API Management에 대한 Azure 보안 기준을 참조하세요.