Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Abkündigungshinweis: Dies ist veraltet und wird nicht mehr aktualisiert. Um sicherzustellen, dass nur die besten Anleitungen angezeigt werden, wird dieser Artikel im Mai 2026 gelöscht.
Alternative Anleitungen finden Sie unter Azure API Management Zielzonenarchitektur Anleitung im Azure Architecture Center.
Wenn Sie diese Anleitung speichern möchten, können Sie Download a PDF unten links auf dieser Seite auswählen oder die Dateien aus GitHub herunterladen.
Dieser Artikel enthält Entwurfsüberlegungen und Empfehlungen für die Sicherheit bei Verwendung der API Management Landing Zone Accelerator. Sicherheit umfasst mehrere Aspekte, darunter das Sichern der Frontend-APIs, das Sichern von Back-Ends und das Sichern des Entwicklerportals.
Erfahren Sie mehr über den Sicherheitsentwurfsbereich .
Entwurfsüberlegungen
- Überlegen Sie, wie Sie Ihre Frontend-APIs sichern möchten, die über die Verwendung von Abonnementschlüsseln hinausgehen. OAuth 2.0, OpenID Connect und gegenseitiges TLS sind häufige Optionen mit integrierter Unterstützung.
- Überlegen Sie, wie Sie Ihre Back-End-Dienste hinter der API-Verwaltung schützen möchten. Clientzertifikate und OAuth 2.0 sind zwei unterstützte Optionen.
- Überlegen Sie, welche Client- und Back-End-Protokolle und Verschlüsselungen erforderlich sind, um Ihre Sicherheitsanforderungen zu erfüllen.
- Erwägen Sie API-Verwaltungsüberprüfungsrichtlinien , um REST- oder SOAP-API-Anforderungen und -Antworten anhand von Schemas zu überprüfen, die in der API-Definition definiert oder in die Instanz hochgeladen wurden. Diese Richtlinien sind kein Ersatz für eine Web Application Firewall, können aber zusätzlichen Schutz vor einigen Bedrohungen bieten.
Hinweis
Das Hinzufügen von Validierungsrichtlinien kann Leistungsauswirkungen haben, daher empfehlen wir Leistungslasttests, um ihre Auswirkungen auf den API-Durchsatz zu bewerten.
- Überlegen Sie, welche Identitätsanbieter neben Microsoft Entra ID unterstützt werden müssen.
Designempfehlungen
- Stellen Sie eine Web Application Firewall (WAF) vor der API-Verwaltung bereit, um vor gängigen Webanwendungs-Exploits und Sicherheitsrisiken zu schützen.
- Verwenden Sie Azure Key Vault, um geheime Schlüssel sicher zu speichern und zu verwalten und über named values in der API-Verwaltung verfügbar zu machen.
- Erstellen Sie eine system zugewiesene verwaltete Identität in der API-Verwaltung, um Vertrauensstellungen zwischen dem Dienst und anderen Ressourcen einzurichten, die durch Microsoft Entra ID geschützt sind, einschließlich Key Vault und Back-End-Dienste.
- APIs sollten nur über HTTPS zugänglich sein, um Daten während der Übertragung zu schützen und die Integrität sicherzustellen.
- Verwenden Sie die neueste TLS-Version, wenn Informationen während der Übertragung verschlüsselt werden. Deaktivieren Sie veraltete und unnötige Protokolle und Verschlüsselungen, wenn möglich.
Annahmen im Unternehmensmaßstab
Nachfolgend sind die Voraussetzungen aufgeführt, die in die Entwicklung des API-Management-Zielzonen-Beschleunigers eingeflossen sind:
- Konfiguration von Azure Application Gateway als WAF.
- Schutz der API-Verwaltungsinstanz in einem VNet, das interne und externe Konnektivität steuert.
Nächste Schritte
- Weitere Anleitungen zum Sichern Ihrer API-Verwaltungsumgebungen finden Sie unter Azure Security Baseline for API Management.