Säkerhetsöverväganden för API Management-acceleratorn för landningszoner

Den här artikeln innehåller designöverväganden och rekommendationer för säkerhet när du använder API Management-acceleratorn för landningszoner. Säkerhet omfattar flera aspekter som att skydda klientdels-API:er, skydda serverdelar och skydda utvecklarportalen.

Läs mer om säkerhetsdesignområdet .

Tips för utformning

• Överväg hur du vill skydda dina klientdels-API:er utöver att använda prenumerationsnycklar. OAuth 2.0, OpenID Anslut och ömsesidig TLS är vanliga alternativ med inbyggt stöd.
• Tänk på hur du vill skydda dina serverdelstjänster bakom API Management. Klientcertifikat och OAuth 2.0 är två alternativ som stöds.
• Överväg vilka klient- och serverdelsprotokoll och chiffer som krävs för att uppfylla dina säkerhetskrav.
• Överväg API Management-valideringsprinciper för att verifiera REST- eller SOAP API-begäranden och svar mot scheman som definierats i API-definitionen eller laddats upp till instansen. Dessa principer ersätter inte en brandvägg för webbprogram, men kan ge ytterligare skydd mot vissa hot.

  Kommentar

  Att lägga till valideringsprinciper kan ha prestandakonsekvenser, så vi rekommenderar prestandabelastningstester för att utvärdera deras inverkan på API-dataflödet.

• Överväg vilka identitetsprovidrar förutom Microsoft Entra-ID som måste stödjas.

Designrekommendationer

• Distribuera en brandvägg för webbprogram (WAF) framför API Management för att skydda mot vanliga sårbarheter och sårbarheter i webbprogram.
• Använd Azure Key Vault för att lagra och hantera hemligheter på ett säkert sätt och göra dem tillgängliga via namngivna värden i API Management.
• Skapa en systemtilldelad hanterad identitet i API Management för att upprätta förtroenderelationer mellan tjänsten och andra resurser som skyddas av Microsoft Entra-ID, inklusive Key Vault och serverdelstjänster.
• API:er bör endast vara tillgängliga via HTTPS för att skydda data under överföring och säkerställa dess integritet.
• Använd den senaste TLS-versionen när du krypterar information under överföring. Inaktivera inaktuella och onödiga protokoll och chiffer när det är möjligt.

Antaganden om företagsskala

Följande är antaganden som gick in i utvecklingen av API Management-acceleratorn för landningszoner:

• Konfiguration av Azure Application Gateway som en WAF.
• Skydd av API Management-instansen i ett virtuellt nätverk som styr intern och extern anslutning.

Nästa steg

• Mer information om hur du skyddar DINA API Management-miljöer finns i Azures säkerhetsbaslinje för API Management .