我试图了解Azure API管理套件是否在其安全或策略设置中包含任何WAF功能(例如OWASP所述)。
如果"否"或者"不要"知道前面的面向公众的API(处理PII),通过Azure API管理与Web应用程序防火墙(WAF)或云中的任何其他地方公开 - > APIM - > VPN - >防火墙 - >内部部署服务拓扑?
提前致谢
答案 0 :(得分:6)
基于this WAF功能列表,API Management可以开箱即用,其中许多可以使用自定义策略实现,其中一些功能无法完成。策略可以操纵HTTP请求和响应。但是它们的功能不能低于这个水平。
没有内置函数可以尝试和防止注入攻击,但是可以构建它们。在API管理网关和API之间部署专用WAF也是一种合理的选择。
答案 1 :(得分:1)
最好在APIMS之上有一个单独的WAF模块。
APIMS <-> WAF <->磅
如今,滥用API的趋势正在发展。我认为许多云提供商内置的WAF保护基本上处于步兵阶段。最好使用一些专用的WAF模块
答案 2 :(得分:0)
您可以在一个子网内将您的API管理服务设为私有,并在其前面放置带有WAF的App Gateway。棘手的部分是,该功能仅在API管理的高级版计划中可用。
但是,由于最终您希望保护应用程序而不是APIMS免受SQL注入之类的攻击,因此可以在APIMS和应用程序之间放置AppGateway + WAF。同时,AppGateway将成为您的负载均衡器。
SSL和端到端加密将需要引起注意。