你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供有关使用 API 管理登陆区域加速器时的安全性的设计注意事项和建议。 安全性涵盖多个方面,包括保护前端 API、保护后端和保护开发人员门户。
详细了解 安全 设计区域。
设计注意事项
- 请考虑除了使用 订阅密钥之外,还可以通过哪些方式来保护前端 API。 OAuth 2.0、OpenID Connect 和 相互 TLS 是内置支持的常见选项。
- 考虑如何保护 API 管理背后的后端服务。 客户端证书 和 OAuth 2.0 是两种受支持的选项。
- 考虑满足安全要求需要哪些客户端和后端 协议和密码 。
- 请考虑 API 管理 验证策略 ,针对 API 定义中定义的架构或上传到实例的架构验证 REST 或 SOAP API 请求和响应。 这些策略不是 Web 应用程序防火墙的替代项,但可以提供针对某些威胁的额外保护。
注释
添加验证策略可能会对性能造成影响,因此我们建议性能负载测试评估它们对 API 吞吐量的影响。
- 请考虑除了Microsoft Entra ID 之外,还需要支持哪些标识提供者。
设计建议
- 在 API 管理前部署 Web 应用程序防火墙(WAF),以防止常见的 Web 应用程序攻击和漏洞。
- 使用 Azure Key Vault 安全地存储和管理机密,并通过 API 管理中的 命名值 提供机密。
- 在 API 管理中创建 系统分配的托管标识 ,以在服务与受 Microsoft Entra ID 保护的其他资源(包括 Key Vault 和后端服务)之间建立信任关系。
- 只能通过 HTTPS 访问 API,以保护传输中的数据并确保其完整性。
- 加密传输中的信息时,请使用最新的 TLS 版本。 尽可能禁用过时和不必要的协议和密码。
企业规模假设
以下是用于开发 API 管理登陆区域加速器的假设:
- 将 Azure 应用程序网关配置为 WAF。
- 保护 VNet 中控制内部和外部连接的 API 管理实例。
后续步骤
- 有关保护 API 管理环境的其他指南,请参阅 适用于 API 管理的 Azure 安全基线 。