Zagadnienia dotyczące zabezpieczeń akceleratora strefy docelowej usługi API Management
Ten artykuł zawiera zagadnienia dotyczące projektowania i zalecenia dotyczące zabezpieczeń podczas korzystania z akceleratora strefy docelowej usługi API Management. Zabezpieczenia obejmują wiele aspektów, w tym zabezpieczanie interfejsów API frontonu, zabezpieczanie zaplecza i zabezpieczanie portalu deweloperów.
Dowiedz się więcej o obszarze projektowania zabezpieczeń .
Uwagi dotyczące projektowania
- Zastanów się, jak chcesz zabezpieczyć interfejsy API frontonu poza używaniem kluczy subskrypcji. Protokół OAuth 2.0, Połączenie OpenID i wzajemne protokoły TLS są typowymi opcjami z wbudowaną obsługą.
- Zastanów się, jak chcesz chronić usługi zaplecza za usługą API Management. Certyfikaty klienta i protokół OAuth 2.0 są dwiema obsługiwanymi opcjami.
- Należy wziąć pod uwagę, które protokoły i szyfry klienta i zaplecza są wymagane do spełnienia wymagań dotyczących zabezpieczeń.
- Rozważ zasady weryfikacji usługi API Management, aby zweryfikować żądania interfejsu API REST lub SOAP oraz odpowiedzi na schematy zdefiniowane w definicji interfejsu API lub przekazane do wystąpienia. Te zasady nie zastępują zapory aplikacji internetowej, ale mogą zapewnić dodatkową ochronę przed niektórymi zagrożeniami.
Uwaga
Dodanie zasad weryfikacji może mieć wpływ na wydajność, dlatego zalecamy przeprowadzenie testów obciążeniowych wydajności w celu oceny ich wpływu na przepływność interfejsu API.
- Rozważ, którzy dostawcy tożsamości oprócz identyfikatora Entra firmy Microsoft muszą być obsługiwani.
Zalecenia dotyczące projektowania
- Wdróż zaporę aplikacji internetowej przed usługą API Management, aby chronić przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach aplikacji internetowych.
- Usługa Azure Key Vault umożliwia bezpieczne przechowywanie wpisów tajnych i zarządzanie nimi oraz udostępnianie ich za pomocą nazwanych wartości w usłudze API Management.
- Utwórz tożsamość zarządzaną przypisaną przez system w usłudze API Management, aby ustanowić relacje zaufania między usługą i innymi zasobami chronionymi przez identyfikator Entra firmy Microsoft, w tym usługę Key Vault i usługi zaplecza.
- Interfejsy API powinny być dostępne tylko za pośrednictwem protokołu HTTPS, aby chronić dane podczas przesyłania i zapewnić jego integralność.
- Użyj najnowszej wersji protokołu TLS podczas szyfrowania informacji przesyłanych. Wyłącz nieaktualne i niepotrzebne protokoły i szyfry, jeśli jest to możliwe.
Założenia dotyczące skali przedsiębiorstwa
Poniżej przedstawiono założenia, które zostały wprowadzone do opracowywania akceleratora strefy docelowej usługi API Management:
- Konfiguracja bramy aplikacja systemu Azure jako zapory aplikacji internetowej.
- Ochrona wystąpienia usługi API Management w sieci wirtualnej, która kontroluje łączność wewnętrzną i zewnętrzną.
Następne kroki
- Zobacz Punkt odniesienia zabezpieczeń platformy Azure dla usługi API Management , aby uzyskać dodatkowe wskazówki dotyczące zabezpieczania środowisk usługi API Management.