Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся соображения по проектированию и рекомендации по обеспечению безопасности при использовании ускорителя рабочей зоны управления API. Безопасность охватывает несколько аспектов, включая защиту интерфейсных API, защиту внутренних частей и защиту портала разработчика.
Дополнительные сведения о области проектирования безопасности .
Рекомендации по проектированию
- Рассмотрим, как защитить интерфейсные API за пределами использования ключей подписки. OAuth 2.0, OpenID Connect и взаимный TLS являются общими вариантами встроенной поддержки.
- Подумайте о том, как вы хотите защитить внутренние службы с помощью управления API. Сертификаты клиента и OAuth 2.0 поддерживают два варианта.
- Рассмотрите, какие клиентские и внутренние протоколы и шифры необходимы для удовлетворения ваших требований к безопасности.
- Рассмотрите политики проверки управления API для проверки запросов и ответов REST или SOAP API на соответствие схемам, определенным в определении API или загруженным в экземпляр. Эти политики не являются заменой брандмауэра веб-приложения, но могут обеспечить дополнительную защиту от некоторых угроз.
Замечание
Добавление политик проверки может иметь последствия для производительности, поэтому мы рекомендуем тесты нагрузок производительности, чтобы оценить их воздействие на пропускную способность API.
- Рассмотрите, какие поставщики удостоверений, кроме идентификатора Microsoft Entra, должны поддерживаться.
Рекомендации по проектированию
- Разверните брандмауэр веб-приложения (WAF) перед управлением API для защиты от распространенных эксплойтов и уязвимостей веб-приложений.
- Используйте Azure Key Vault для безопасного хранения секретов и управления ими и их доступности с помощью именованных значений в службе управления API.
- Создайте управляемое удостоверение, назначаемое системой , в службе управления API, чтобы установить отношения доверия между службой и другими ресурсами, защищенными идентификатором Microsoft Entra ID, включая Key Vault и внутренние службы.
- API-интерфейсы должны быть доступны только по протоколу HTTPS для защиты передаваемых данных и обеспечения его целостности.
- Используйте последнюю версию TLS при шифровании данных при передаче. По возможности отключите устаревшие и ненужные протоколы и шифры.
Предположения о масштабировании предприятия
Ниже приведены предположения, которые пошли в разработку акселератора целевой зоны управления API:
- Настройка шлюза приложений Azure в качестве WAF.
- Защита экземпляра службы управления API в виртуальной сети, которая управляет внутренним и внешним подключением.
Дальнейшие действия
- Дополнительные рекомендации по защите сред управления API см. в базовом плане безопасности Azure для управления API .