Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Data API Builder kunt u uw gegevens snel beschikbaar maken via REST- en GraphQL-eindpunten, zodat u eenvoudiger moderne toepassingen kunt bouwen. Omdat deze eindpunten toegang kunnen bieden tot gevoelige gegevens, is het essentieel om robuuste beveiligingsmaatregelen te implementeren om uw oplossing te beschermen tegen onbevoegde toegang en bedreigingen.
Dit artikel bevat richtlijnen voor het beveiligen van uw Data API Builder-oplossing.
Authenticatie
- Gebruik sterke verificatieproviders: Configureer altijd Data API Builder voor het gebruik van een veilige verificatieprovider, zoals Microsoft Entra ID of App Services-verificatie. Deze configuratie zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot uw API's. Zie de verificatieconfiguratie voor meer informatie.
- Vermijd het coderen van geheimen: sla nooit verificatiegeheimen of referenties rechtstreeks op in uw configuratiebestanden of broncode. Gebruik veilige methoden, zoals omgevingsvariabelen of Azure Key Vault. Zie Azure-verificatie voor meer informatie.
Autorisatie
Op rollen gebaseerd toegangsbeheer (RBAC) implementeren: beperk de toegang tot entiteiten en acties op basis van gebruikersrollen door rollen en machtigingen in uw configuratie te definiƫren. Dit beperkt de blootstelling van gevoelige gegevens en bewerkingen. Zie rollen voor meer informatie.
Standaard weigeren: entiteiten hebben standaard geen machtigingen geconfigureerd, zodat niemand er toegang toe heeft. Definieer expliciet machtigingen voor elke rol om ervoor te zorgen dat alleen beoogde gebruikers toegang hebben. Zie autorisatievoor meer informatie.
Gebruik de X-MS-API-ROLE-header voor aangepaste rollen: Clients verplichten om de
X-MS-API-ROLEheader op te geven voor toegang tot resources met aangepaste rollen, zodat aanvragen worden geƫvalueerd in de juiste beveiligingscontext. Zie aangepaste rolheader voor meer informatie.
Transportbeveiliging
Transportlaagbeveiliging afdwingen voor alle verbindingen: Zorg ervoor dat alle gegevens die worden uitgewisseld tussen clients en Data API Builder worden versleuteld met behulp van transportlaagbeveiliging. Tls (Transport Layer Security) beschermt gegevens die onderweg zijn tegen onderschepping en manipulatie. Zie TLS-afdwinging voor meer informatie.
Verouderde TLS-versies uitschakelen: configureer uw server om verouderde TLS-versies (zoals TLS 1.0 en 1.1) uit te schakelen en vertrouw op de standaard TLS-configuratie van het besturingssysteem ter ondersteuning van de nieuwste beveiligde protocollen. Zie verouderde TLS-versies uitschakelen voor meer informatie.
Configuratiebeveiliging
Anonieme toegang beperken: alleen anonieme toegang tot entiteiten toestaan wanneer dat nodig is. Anders is verificatie vereist voor alle eindpunten om het risico op onbevoegde gegevensblootstelling te verminderen. Zie anonieme systeemrol voor meer informatie.
Beperk machtigingen tot het minimum dat vereist is: Geef gebruikers en rollen alleen de machtigingen die ze nodig hebben om hun taken uit te voeren. Vermijd het gebruik van wildcard-machtigingen, tenzij dat nodig is. Zie machtigingen voor meer informatie.
Bewaking en updates
Toegang bewaken en controleren: verdachte activiteiten of pogingen tot onbevoegde toegang detecteren door regelmatig logboeken te controleren en de toegang tot uw Data API Builder-eindpunten te controleren. Voor meer informatie, zie Monitor met behulp van Application Insights.
Houd afhankelijkheden up-to-date: Zorg ervoor dat u over de nieuwste beveiligingspatches en verbeteringen beschikt door data-API builder, de bijbehorende afhankelijkheden en uw onderliggende platform regelmatig bij te werken. Zie DAB-versies voor meer informatie.