API Management giriş bölgesi hızlandırıcısı için güvenlik konuları

Bu makalede, API Management giriş bölgesi hızlandırıcısı kullanılırken güvenlikle ilgili tasarım konuları ve öneriler sağlanır. Güvenlik, ön uç API'lerinin güvenliğini sağlama, arka uçların güvenliğini sağlama ve geliştirici portalının güvenliğini sağlama gibi birçok yönü kapsar.

Güvenlik tasarımı alanı hakkında daha fazla bilgi edinin.

Tasarımla ilgili dikkat edilecek noktalar

• Abonelik anahtarlarını kullanmanın ötesinde ön uç API'lerinizin güvenliğini nasıl sağlamak istediğinizi göz önünde bulundurun. OAuth 2.0, OpenID Bağlan ve karşılıklı TLS, yerleşik desteğe sahip yaygın seçeneklerdir.
• ARKA uç hizmetlerinizi API Management'ın arkasında nasıl korumak istediğinizi düşünün. İstemci sertifikaları ve OAuth 2.0 desteklenen iki seçenektir.
• Güvenlik gereksinimlerinizi karşılamak için hangi istemci ve arka uç protokollerinin ve şifrelemelerin gerekli olduğunu göz önünde bulundurun.
• API tanımında tanımlanan veya örneğe yüklenen şemalara karşı REST veya SOAP API isteklerini ve yanıtlarını doğrulamak için API Management doğrulama ilkelerini göz önünde bulundurun. Bu ilkeler bir Web Uygulaması Güvenlik Duvarı yerine geçmez, ancak bazı tehditlere karşı ek koruma sağlayabilir.

  Dekont

  Doğrulama ilkeleri eklemenin performansı etkileyebileceğinden, API aktarım hızı üzerindeki etkilerini değerlendirmek için performans yük testlerini öneririz.

• Microsoft Entra Id'nin yanı sıra hangi kimlik sağlayıcılarının desteklenmesi gerektiğini göz önünde bulundurun.

Tasarım önerileri

• Yaygın web uygulaması açıklarına ve güvenlik açıklarına karşı koruma sağlamak için API Management'ın önüne bir Web Uygulaması Güvenlik Duvarı (WAF) dağıtın.
• Gizli dizileri güvenli bir şekilde depolamak ve yönetmek ve API Management'taki adlandırılmış değerler aracılığıyla kullanılabilir hale getirmek için Azure Key Vault'ı kullanın.
• Hizmetle Key Vault ve arka uç hizmetleri de dahil olmak üzere Microsoft Entra Id ile korunan diğer kaynaklar arasında güven ilişkileri kurmak için API Management'ta sistem tarafından atanan bir yönetilen kimlik oluşturun.
• API'lere yalnızca aktarımdaki verileri korumak ve bütünlüğünü sağlamak için HTTPS üzerinden erişilebilir olmalıdır.
• Aktarımdaki bilgileri şifrelerken en son TLS sürümünü kullanın. Mümkün olduğunda güncel olmayan ve gereksiz protokolleri ve şifreleri devre dışı bırakın.

Kurumsal ölçek varsayımları

AŞAĞıDA API Management giriş bölgesi hızlandırıcısının geliştirilmesine yönelik varsayımlar verilmiştir:

• Azure Uygulaması Lication Gateway'in WAF olarak yapılandırılması.
• İç ve dış bağlantıyı denetleen bir sanal ağda API Management örneğinin korunması.

Sonraki adımlar

• API Management ortamlarınızın güvenliğini sağlama konusunda ek yönergeler için bkz. API Management için Azure güvenlik temeli.