API Management ランディング ゾーン アクセラレータのセキュリティに関する考慮事項

  • [アーティクル]

この記事では、API Management ランディング ゾーン アクセラレータを使用するときのセキュリティに関する設計上の考慮事項と推奨事項について説明します。 セキュリティは、フロントエンド API のセキュリティ保護、バックエンドのセキュリティ保護、開発者ポータルのセキュリティ保護など、複数の側面が含まれています。

詳細については、セキュリティの設計領域を参照してください。

設計上の考慮事項

  • サブスクリプション キーを使用する以外にフロントエンド API をセキュリティで保護する方法を検討してください。 OAuth 2.0、OpenID Connect、そして相互 TLS は、組み込みのサポートを備えた一般的なオプションです。
  • API Management の背後にあるバックエンド サービスを保護する方法について考えてください。 クライアント証明書OAuth 2.0 は、サポートされている 2 つのオプションです。
  • セキュリティ要件を満たすために必要なクライアントとバックエンドのプロトコルと暗号を検討します。
  • API 定義で定義されているスキーマまたはインスタンスにアップロードされているスキーマに対して、REST または SOAP API の要求と応答を検証するために、API Management 検証ポリシーを検討します。 これらのポリシーは、Web Application Firewall に代わるものではありませんが、一部の脅威に対する追加の保護を提供できます。

    注意

    検証ポリシーを追加するとパフォーマンスに影響を与える可能性があるため、パフォーマンス ロード テストを使用して API スループットへの影響を評価することをお勧めします。

  • Microsoft Entra ID 以外に、どの ID プロバイダーをサポートする必要があるかを検討してください。

設計の推奨事項

  • API Management の前に Web Application Firewall (WAF) をデプロイして、一般的な Web アプリケーションの悪用や脆弱性から保護します。
  • Azure Key Vault を使用してシークレットを安全に保存および管理し、API Management で名前付き値を使用してシークレットを使用できるようにします。
  • API Management でシステム割り当てマネージド ID を作成し、サービスと、Key Vault サービスやバックエンド サービスなど、Microsoft Entra ID によって保護されている他のリソースとの間に信頼関係を確立します。
  • API には、転送中のデータを保護し、その整合性を確保するために、HTTPS 経由でのみアクセスできる必要があります。
  • 転送中の情報を暗号化するときは、最新の TLS バージョンを使用します。 可能な場合は、古くて不要なプロトコルと暗号を無効にします。

エンタープライズ規模の前提条件

API Management ランディング ゾーン アクセラレータの開発にあたっての前提を次に示します。

  • WAF としての Azure Application Gateway の構成。
  • 内部接続と外部接続を制御する VNet 内のAPI Management インスタンスの保護。

次の手順