Share via

Aspekty zabezpečení akcelerátoru cílových zón služby API Management

  • Článek

Tento článek obsahuje aspekty návrhu a doporučení pro zabezpečení při použití akcelerátoru cílové zóny služby API Management. Zabezpečení zahrnuje několik aspektů, včetně zabezpečení rozhraní API front-endu, zabezpečení back-endů a zabezpečení portálu pro vývojáře.

Přečtěte si další informace o oblasti návrhu zabezpečení .

Aspekty návrhu

  • Zvažte, jak chcete zabezpečit rozhraní API front-endu nad rámec použití klíčů předplatného. OAuth 2.0, OpenID Připojení a vzájemné TLS jsou běžné možnosti s integrovanou podporou.
  • Zamyslete se nad tím, jak chcete chránit back-endové služby za službou API Management. Klientské certifikáty a OAuth 2.0 jsou dvě podporované možnosti.
  • Zvažte, které klientské a back-endové protokoly a šifry jsou potřeba ke splnění vašich požadavků na zabezpečení.
  • Zvažte zásady ověřování služby API Management za účelem ověření požadavků rozhraní REST nebo SOAP API a odpovědí na schémata definovaná v definici rozhraní API nebo nahraných do instance. Tyto zásady nejsou náhradou za firewall webových aplikací, ale můžou poskytovat další ochranu před některými hrozbami.

    Poznámka

    Přidání zásad ověřování může mít vliv na výkon, proto doporučujeme zátěžové testy výkonu k vyhodnocení jejich dopadu na propustnost rozhraní API.

  • Zvažte, které zprostředkovatele identit kromě Microsoft Entra ID je potřeba podporovat.

Doporučení k návrhu

  • Nasaďte firewall webových aplikací (WAF) před službu API Management, abyste ochránili před běžným zneužitím a ohrožením zabezpečení webových aplikací.
  • Azure Key Vault slouží k bezpečnému ukládání a správě tajných kódů a jejich zpřístupnění prostřednictvím pojmenovaných hodnot ve službě API Management.
  • Vytvořte spravovanou identitu přiřazenou systémem ve službě API Management, která vytvoří vztahy důvěryhodnosti mezi službou a dalšími prostředky chráněnými ID Microsoft Entra, včetně služby Key Vault a back-endových služeb.
  • Rozhraní API by měla být přístupná jenom přes HTTPS, aby chránila přenášená data a zajistila její integritu.
  • Při šifrování přenášených informací použijte nejnovější verzi protokolu TLS. Pokud je to možné, zakažte zastaralé a nepotřebné protokoly a šifry.

Předpoklady podnikového škálování

Níže jsou uvedené předpoklady, které se dostaly do vývoje akcelerátoru cílové zóny služby API Management:

  • Konfigurace brány Aplikace Azure jako WAF
  • Ochrana instance služby API Management ve virtuální síti, která řídí interní a externí připojení.

Další kroky