Beveiligingsoverwegingen voor de api Management-landingszoneversneller

  • Artikel

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor beveiliging bij het gebruik van de API Management-landingszoneversneller. Beveiliging omvat meerdere aspecten, waaronder het beveiligen van de front-end-API's, het beveiligen van back-ends en het beveiligen van de ontwikkelaarsportal.

Meer informatie over het ontwerpgebied voor beveiliging .

Ontwerpoverwegingen

  • Overweeg hoe u uw front-end-API's wilt beveiligen, behalve het gebruik van abonnementssleutels. OAuth 2.0, OpenID Verbinding maken en wederzijdse TLS zijn algemene opties met ingebouwde ondersteuning.
  • Denk na over hoe u uw back-endservices achter API Management wilt beveiligen. Clientcertificaten en OAuth 2.0 zijn twee ondersteunde opties.
  • Overweeg welke client- en back-endprotocollen en coderingen vereist zijn om te voldoen aan uw beveiligingsvereisten.
  • Overweeg validatiebeleid voor API Management om REST- of SOAP API-aanvragen en -antwoorden te valideren op basis van schema's die zijn gedefinieerd in de API-definitie of geüpload naar het exemplaar. Dit beleid is geen vervanging voor een Web Application Firewall, maar kan extra beveiliging bieden tegen sommige bedreigingen.

    Notitie

    Het toevoegen van validatiebeleid kan gevolgen hebben voor de prestaties, dus we raden prestatiebelastingstests aan om hun impact op API-doorvoer te beoordelen.

  • Overweeg welke id-providers naast Microsoft Entra ID moeten worden ondersteund.

Ontwerpaanaanvelingen

  • Implementeer een WaF (Web Application Firewall) vóór API Management om te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen van webtoepassingen.
  • Gebruik Azure Key Vault om geheimen veilig op te slaan en te beheren en deze beschikbaar te maken via benoemde waarden in API Management.
  • Maak een door het systeem toegewezen beheerde identiteit in API Management om vertrouwensrelaties tot stand te brengen tussen de service en andere resources die worden beveiligd door Microsoft Entra-id, waaronder Key Vault en back-endservices.
  • API's mogen alleen toegankelijk zijn via HTTPS om gegevens in transit te beveiligen en de integriteit ervan te waarborgen.
  • Gebruik de nieuwste TLS-versie bij het versleutelen van gegevens tijdens overdracht. Schakel indien mogelijk verouderde en onnodige protocollen en coderingen uit.

Veronderstellingen op ondernemingsniveau

Hier volgen veronderstellingen die zijn opgenomen in de ontwikkeling van de API Management-landingszoneversneller:

  • Configuratie van Azure-toepassing Gateway als WAF.
  • Beveiliging van het API Management-exemplaar in een VNet dat interne en externe connectiviteit beheert.

Volgende stappen