本文提供使用 API 管理登陸區域加速器時的安全性設計考慮和建議。 安全性涵蓋多個層面,包括保護前端 API、保護後端,以及保護開發人員入口網站。
深入瞭解 安全性 設計區域。
設計考量
- 請考慮如何使用訂用帳戶 密鑰來保護前端 API。 OAuth 2.0、OpenID Connect 和 相互 TLS 是內建支援的常見選項。
- 想想您想要如何保護 API 管理背後的後端服務。 客戶端憑證 和 OAuth 2.0 是兩個支持的選項。
- 請考慮需要哪些用戶端和後端 通訊協議和加密 ,才能符合您的安全性需求。
- 請考慮使用 API 管理 驗證原則 來驗證 REST 或 SOAP API 要求,以及針對 API 定義中定義的架構或上傳至實例的回應。 這些原則不是 Web 應用程式防火牆的取代專案,但可以提供對某些威脅的額外保護。
備註
新增驗證原則可能會影響效能,因此我們建議效能負載測試評估其對 API 輸送量的影響。
- 請考慮除了Microsoft Entra ID 之外,還需要支援哪些識別提供者。
設計建議
- 在 API 管理前部署 Web 應用程式防火牆 (WAF),以防止常見的 Web 應用程式惡意探索和弱點。
- 使用 Azure Key Vault 安全地儲存和管理秘密,並透過 API 管理中的 具名值 加以使用。
- 在 API 管理中建立 系統指派的受控識別 ,以建立服務與其他 Microsoft受專案標識碼保護的資源之間的信任關係,包括 Key Vault 和後端服務。
- API 應該只能透過 HTTPS 存取,以保護傳輸中的數據,並確保其完整性。
- 加密傳輸中的資訊時,請使用最新的 TLS 版本。 盡可能停用過時和不必要的通訊協定和加密。
企業規模假設
以下是用於開發 API 管理登陸區加速器的假設:
- 將 Azure 應用程式閘道設定為 WAF。
- 在 VNet 中保護可控制內部和外部連線能力之 API 管理實例。
後續步驟
- 如需保護 API 管理環境的其他指引,請參閱 適用於 API 管理的 Azure 安全性基準 。