Überlegungen zur Sicherheit für den API Management-Zielzonenbeschleuniger
Dieser Artikel behandelt Designüberlegungen und Empfehlungen zur Sicherheit bei der Verwendung des API Management-Zielzonen-Beschleunigers. Sicherheit umfasst mehrere Aspekte, einschließlich der Sicherung der Frontend-APIs, der Sicherung von Back-Ends und dem Sichern des Entwicklerportals.
Erfahren Sie mehr über den Sicherheitsentwurfsbereich.
Überlegungen zum Entwurf
- Überlegen Sie, wie Sie Ihre Frontend-APIs über die Verwendung von Abonnementschlüsseln hinaus sichern möchten. OAuth 2.0, OpenID Connect und gegenseitige TLS sind gemeinsame Optionen mit integriertem Support.
- Denken Sie daran, wie Sie Ihre Back-End-Dienste hinter API Management schützen möchten. Clientzertifikate und OAuth 2.0 sind zwei unterstützte Optionen.
- Berücksichtigen Sie, welche Client- und Back-End-Protokolle und -Verschlüsselungen erforderlich sind, um Ihre Sicherheitsanforderungen zu erfüllen.
- Berücksichtigen Sie API Management Validierungsrichtlinien, um REST- oder SOAP-API-Anforderungen und -Antworten auf Schemas zu überprüfen, die in der API-Definition definiert oder in die Instanz hochgeladen wurden. Diese Richtlinien sind kein Ersatz für eine Web Application Firewall, können jedoch zusätzlichen Schutz vor einigen Bedrohungen bieten.
Hinweis
Das Hinzufügen von Validierungsrichtlinien kann sich auf die Leistung auswirken. Wir empfehlen daher Leistungstests, um die Auswirkungen auf den API-Durchsatz zu beurteilen.
- Berücksichtigen Sie, welche Identitätsanbieter neben Microsoft Entra ID unterstützt werden müssen.
Entwurfsempfehlungen
- Stellen Sie eine Web Application Firewall (WAF) vor API Management bereit, um vor gängigen Webanwendungs-Exploits und Sicherheitsrisiken zu schützen.
- Verwenden Sie Azure Key Vault, um geheime Schlüssel sicher zu speichern und zu verwalten und sie über benannte Werte in API Management verfügbar zu machen.
- Erstellen Sie eine systemseitig zugewiesene verwaltete Identität in API Management, um Vertrauensbeziehungen zwischen dem Dienst und anderen Ressourcen einzurichten, die von Microsoft Entra ID geschützt sind, einschließlich Key Vault und Back-End-Dienste.
- APIs sollten nur über HTTPS zugänglich sein, um Daten in der Übertragung zu schützen und die Integrität sicherzustellen.
- Verwenden Sie die neueste TLS-Version beim Verschlüsseln von Informationen während der Übertragung. Deaktivieren Sie veraltete und unnötige Protokolle und Verschlüsselungen, wenn möglich.
Erwägungen zur Unternehmensebene
Die folgenden Annahmen wurden bei der Entwicklung des Zielzonenbeschleunigers für API Management einbezogen:
- Konfiguration von Azure Application Gateway als WAF.
- Schutz der API Management Instanz in einem VNet, das interne und externe Konnektivität steuert.
Nächste Schritte
- Weitere Anleitungen zum Sichern Ihrer API Management-Umgebungen finden Sie unter Azure Security Baseline für API Management.