Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Avviso di deprecazione: Questa funzione è obsoleta e non viene più aggiornata. Per garantire che vengano visualizzate solo le indicazioni migliori, questo articolo verrà eliminato a maggio 2026.
Per indicazioni alternative, vedere Gestione API di Azure architettura della zona di destinazione nel Centro architetture di Azure.
Se si desidera salvare queste indicazioni, è possibile selezionare Download a PDF in basso a sinistra della pagina o scaricare i file da GitHub.
Questo articolo fornisce considerazioni sulla progettazione e raccomandazioni per la sicurezza nell'uso dell'acceleratore per la zona di atterraggio di gestione delle API. La sicurezza riguarda più aspetti, tra cui la protezione delle API front-end, la protezione dei back-end e la protezione del portale per sviluppatori.
Altre informazioni sull'area di progettazione della sicurezza .
Considerazioni sulla progettazione
- Valutare come si vogliono proteggere le API front-end oltre a usare le chiavi di sottoscrizione. OAuth 2.0, OpenID Connect e TLS reciproco sono opzioni comuni con il supporto predefinito.
- Si pensi a come si vogliono proteggere i servizi back-end dietro Gestione API. I certificati client e OAuth 2.0 sono due opzioni supportate.
- Considerare quali protocolli client e back-end e crittografie sono necessari per soddisfare i requisiti di sicurezza.
- Prendere in considerazione i criteri di convalida di Gestione API per convalidare le richieste e le risposte dell'API REST o SOAP rispetto agli schemi definiti nella definizione dell'API o caricati nell'istanza. Questi criteri non sono una sostituzione di un Web application firewall, ma possono fornire una protezione aggiuntiva da alcune minacce.
Annotazioni
L'aggiunta di criteri di convalida può avere implicazioni sulle prestazioni, quindi è consigliabile valutare l'impatto sulla velocità effettiva dell'API.
- Considerare quali provider di identità oltre a Microsoft Entra ID devono essere supportati.
Consigli per la progettazione
- Distribuire un Web application firewall (WAF) davanti a Gestione API per proteggersi da exploit e vulnerabilità comuni delle applicazioni Web.
- Usare Azure Key Vault per archiviare e gestire in modo sicuro i segreti e renderli disponibili tramite i valori nominati in Gestione API.
- Creare un'identità gestita assegnata dal sistema in Gestione API per stabilire relazioni di trust tra il servizio e altre risorse protette da Microsoft Entra ID, inclusi i servizi Key Vault e back-end.
- Le API devono essere accessibili solo tramite HTTPS per proteggere i dati in transito e garantirne l'integrità.
- Usare la versione più recente di TLS durante la crittografia delle informazioni in transito. Disabilitare protocolli e crittografie obsoleti e non necessari, quando possibile.
Presupposti su scala aziendale
Di seguito sono riportati i presupposti che sono stati inseriti nello sviluppo dell'acceleratore di zona di destinazione di Gestione API:
- Configurazione di gateway applicazione di Azure come WAF.
- Protezione dell'istanza di Gestione API in una rete virtuale che controlla la connettività interna ed esterna.
Passaggi successivi
- Per altre indicazioni sulla protezione degli ambienti di Gestione API, vedere Azure baseline di sicurezza per Gestione API.