Обеспечение безопасности службы приложений API, стоящей за Azure API Management

У меня проблема с дизайном, с которой я боролся в Azure. Я создал .NET Core API и развернул его как службу приложений в Azure. Кроме того, у меня есть экземпляр Azure API Management с защитой oAuth 2. Я смог добиться этого, следуя этому руководству:

https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad

Таким образом, экземпляр управления API защищен политиками и ограничением скорости, но внутренний URL-адрес широко открыт и не требует аутентификации. Как лучше всего защитить внутренний URL-адрес?


authentication azure api-management
person Colbs    schedule 27.10.2018    source источник
comment
Возможно, здесь больше решений: stackoverflow.com/q/36764654/2579733   -  person Max Ivanov    schedule 15.01.2021

Ответы (1)


arrow_upward
5
arrow_downward

вы можете установить общедоступный IP-адрес APIM для доступа к белому списку службы приложений, чтобы убедиться, что только запросы APIM будут иметь доступ к вашей службе приложений. Чтобы узнать, как установить ограничение IP, вы можете обратиться к этому документу: https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions#adding-and-editing-ip-Restriction-rules-in-the-portal

person Stanley Gong    schedule 29.10.2018
comment
Означает ли это, что сторонние приложения должны будут использовать API через экземпляр APIM, а не внутренний URL-адрес? - person Colbs; 29.10.2018
comment
Да, сторонние приложения больше не смогут получить доступ к вашей службе приложений, кроме как через APIM. - person Stanley Gong; 31.10.2018
comment
Уровень потребления APIM, к сожалению, не имеет статического IP-адреса. Есть ли другой способ обеспечить доступ? - person aaroncatlin; 05.03.2021
comment
@aaroncatlin Удалось ли вам решить проблему динамического IP уровня потребления? - person Manish Rawat; 10.03.2021
comment
@ManishRawat Да и нет. В области «Служба приложений» ›Сеть› Ограничения доступа теперь можно добавить метку службы в белый список (в настоящее время находится в предварительной версии). Трафик APIM исходит из тега службы AzureCloud, поэтому вы можете легко занести эти IP-адреса в белый список. Однако это означает, что ваша служба приложений открыта для трафика из всех источников облака Azure, поэтому рекомендуется дополнительная безопасность, чтобы гарантировать, что трафик исходит из надежных источников. - person aaroncatlin; 11.03.2021
comment
@aaroncatlin спасибо за информацию .. он в режиме предварительного просмотра, так что я буду держаться подальше. Я не мог понять, почему они не могут. Azure просто позволяет нам ограничивать с помощью управляемой идентификации. - person Manish Rawat; 11.03.2021