Рекомендации по безопасности акселератора целевой зоны Управление API
В этой статье приводятся рекомендации и рекомендации по обеспечению безопасности при использовании акселератора целевой зоны Управление API. Безопасность охватывает несколько аспектов, включая защиту интерфейсных API, защиту внутренних частей и защиту портала разработчика.
Дополнительные сведения о области проектирования безопасности .
Рекомендации по проектированию
- Рассмотрим, как защитить интерфейсные API за пределами использования ключей подписки. OAuth 2.0, OpenID Подключение и взаимный TLS являются общими вариантами встроенной поддержки.
- Подумайте о том, как вы хотите защитить внутренние службы за Управление API. Сертификаты клиента и OAuth 2.0 поддерживают два варианта.
- Рассмотрите, какие клиентские и внутренние протоколы и шифры необходимы для удовлетворения ваших требований к безопасности.
- Рассмотрим Управление API политики проверки, чтобы проверить запросы и ответы REST или SOAP API на схемы, определенные в определении API или отправленные в экземпляр. Эти политики не являются заменой Брандмауэр веб-приложений, но могут обеспечить дополнительную защиту от некоторых угроз.
Примечание.
Добавление политик проверки может иметь последствия для производительности, поэтому мы рекомендуем тесты нагрузочных тестов производительности оценить их влияние на пропускную способность API.
- Рассмотрите, какие поставщики удостоверений, кроме идентификатора Microsoft Entra, должны поддерживаться.
Рекомендации по проектированию
- Разверните Брандмауэр веб-приложений (WAF) перед Управление API для защиты от распространенных эксплойтов и уязвимостей веб-приложений.
- Используйте Azure Key Vault для безопасного хранения секретов и управления ими с помощью именованных значений в Управление API.
- Создайте управляемое удостоверение, назначаемое системой, в Управление API для установления отношений доверия между службой и другими ресурсами, защищенными идентификатором Microsoft Entra, включая Key Vault и серверные службы.
- API-интерфейсы должны быть доступны только по протоколу HTTPS для защиты передаваемых данных и обеспечения его целостности.
- Используйте последнюю версию TLS при шифровании данных при передаче. По возможности отключите устаревшие и ненужные протоколы и шифры.
Предположения о масштабировании предприятия
Ниже приведены предположения, которые пошли в развитие акселератора целевой зоны Управление API:
- Конфигурация Шлюз приложений Azure в виде WAF.
- Защита экземпляра Управление API в виртуальной сети, которая управляет внутренним и внешним подключением.
Следующие шаги
- Дополнительные рекомендации по защите Управление API сред см. в Управление API базовых показателей безопасности Azure.