Рекомендации по безопасности акселератора целевой зоны Управление API

  • Статья

В этой статье приводятся рекомендации и рекомендации по обеспечению безопасности при использовании акселератора целевой зоны Управление API. Безопасность охватывает несколько аспектов, включая защиту интерфейсных API, защиту внутренних частей и защиту портала разработчика.

Дополнительные сведения о области проектирования безопасности .

Рекомендации по проектированию

  • Рассмотрим, как защитить интерфейсные API за пределами использования ключей подписки. OAuth 2.0, OpenID Подключение и взаимный TLS являются общими вариантами встроенной поддержки.
  • Подумайте о том, как вы хотите защитить внутренние службы за Управление API. Сертификаты клиента и OAuth 2.0 поддерживают два варианта.
  • Рассмотрите, какие клиентские и внутренние протоколы и шифры необходимы для удовлетворения ваших требований к безопасности.
  • Рассмотрим Управление API политики проверки, чтобы проверить запросы и ответы REST или SOAP API на схемы, определенные в определении API или отправленные в экземпляр. Эти политики не являются заменой Брандмауэр веб-приложений, но могут обеспечить дополнительную защиту от некоторых угроз.

    Примечание.

    Добавление политик проверки может иметь последствия для производительности, поэтому мы рекомендуем тесты нагрузочных тестов производительности оценить их влияние на пропускную способность API.

  • Рассмотрите, какие поставщики удостоверений, кроме идентификатора Microsoft Entra, должны поддерживаться.

Рекомендации по проектированию

  • Разверните Брандмауэр веб-приложений (WAF) перед Управление API для защиты от распространенных эксплойтов и уязвимостей веб-приложений.
  • Используйте Azure Key Vault для безопасного хранения секретов и управления ими с помощью именованных значений в Управление API.
  • Создайте управляемое удостоверение, назначаемое системой, в Управление API для установления отношений доверия между службой и другими ресурсами, защищенными идентификатором Microsoft Entra, включая Key Vault и серверные службы.
  • API-интерфейсы должны быть доступны только по протоколу HTTPS для защиты передаваемых данных и обеспечения его целостности.
  • Используйте последнюю версию TLS при шифровании данных при передаче. По возможности отключите устаревшие и ненужные протоколы и шифры.

Предположения о масштабировании предприятия

Ниже приведены предположения, которые пошли в развитие акселератора целевой зоны Управление API:

  • Конфигурация Шлюз приложений Azure в виде WAF.
  • Защита экземпляра Управление API в виртуальной сети, которая управляет внутренним и внешним подключением.

Следующие шаги

  • Дополнительные рекомендации по защите Управление API сред см. в Управление API базовых показателей безопасности Azure.