API 管理登陸區域加速器的安全性考慮

  • 發行項

本文提供使用 API 管理登陸區域加速器時的安全性設計考慮和建議。 安全性涵蓋多個層面,包括保護前端 API、保護後端,以及保護開發人員入口網站。

深入瞭解 安全性 設計區域。

設計考量

  • 請考慮如何使用訂用 帳戶金鑰 來保護前端 API。 OAuth 2.0 、OpenID 連線和 相互 TLS 是內建支援的常見選項。
  • 想想您想要如何保護後端服務背後的API 管理。 用戶端憑證 OAuth 2.0 是兩個支援的選項。
  • 請考慮需要哪些用戶端和後端 通訊協定和加密 ,才能符合您的安全性需求。
  • 請考慮API 管理 驗證原則 ,針對 API 定義中定義的架構或上傳至實例的架構驗證 REST 或 SOAP API 要求和回應。 這些原則不是取代Web 應用程式防火牆,但可以提供對某些威脅的額外保護。

    注意

    新增驗證原則可能會影響效能,因此我們建議效能負載測試評估其對 API 輸送量的影響。

  • 請考慮需要支援 Microsoft Entra 識別碼以外的識別提供者。

設計建議

  • 在API 管理前面部署Web 應用程式防火牆 (WAF),以防止常見的 Web 應用程式惡意探索和弱點。
  • 使用 Azure 金鑰保存庫安全地儲存和管理秘密,並透過 API 管理中的具名值 加以使用。
  • 在 API 管理 中建立 系統指派的受控識別 ,以建立服務與其他受 Microsoft Entra ID 保護的資源之間的信任關係,包括金鑰保存庫和後端服務。
  • API 應該只能透過 HTTPS 存取,以保護傳輸中的資料,並確保其完整性。
  • 加密傳輸中的資訊時,請使用最新的 TLS 版本。 盡可能停用過時和不必要的通訊協定和加密。

企業規模假設

以下是進入API 管理登陸區域加速器開發的假設:

  • 將Azure 應用程式閘道設定為 WAF。
  • 在 VNet 中保護可控制內部和外部連線的 API 管理 實例。

下一步

  • 如需保護API 管理環境的其他指引,請參閱 適用于API 管理 的 Azure 安全性基準。