你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

API 管理登陆区域加速器的安全注意事项

本文介绍在使用 API 管理登陆区域加速器时有关安全的设计注意事项和建议。 安全性涵盖多个方面，包括保护前端 API、保护后端和保护开发人员门户。

详细了解安全性设计区域。

设计注意事项

• 考虑如何使用订阅密钥保护前端 API。 OAuth 2.0、OpenID Connect 和相互 TLS是内置支持的常用选项。
• 考虑一下你希望如何保护 API 管理背后的后端服务。 支持两个选项，分别是客户端证书和 OAuth 2.0。
• 考虑需要哪些客户端和后端协议和密码才能满足你的安全要求。
• 考虑 API 管理验证策略来验证 REST 或 SOAP API 请求和响应是否针对 API 定义中定义或上传到实例的模式。 这些策略不能替代 Web 应用程序防火墙，但可以针对某些威胁提供额外保护。

  注意

  添加验证策略可能会影响性能，因此我们建议使用性能负载测试来评估它们对 API 吞吐量的影响。

• 请考虑需要支持除 Microsoft Entra ID 以外的标识提供者。

设计建议

• 在 API 管理前面部署 Web 应用程序防火墙 (WAF)，以防范常见的 Web 应用程序攻击和漏洞。
• 使用 Azure 密钥保管库安全地存储和管理机密，并通过 API 管理中的命名值使它们可用。
• 在API 管理中创建系统分配的托管标识，以在受 Microsoft Entra ID 保护的服务和其他资源（包括密钥库和后端服务）之间建立信任关系。
• API 只能通过 HTTPS 访问，以保护传输中的数据并确保其完整性。
• 加密传输中的信息时，请使用最新的 TLS 版本。 尽可能禁用过时和不必要的协议和密码。

企业规模假设

下面是开发 API 管理登陆区域加速器时采用的假设：

• 将 Azure 应用程序网关配置为 WAF。
• 保护 VNet 中用于控制内部和外部连接的 API 管理实例。

后续步骤

• 有关保护 API 管理环境的其他指南，请参阅适用于API 管理的 Azure 安全基线。