我试图了解 Azure API 管理套件是否在其安全或策略设置中包含任何 WAF 功能(例如 OWASP 所述)。
如果“不”或“不”知道将面向公众的 API(处理 PII)、通过带有 Web 应用程序防火墙 (WAF) 的 Azure API 管理或云中的任何其他位置公开的 API 是否有意义 -> APIM -> VPN -> 防火墙 -> 本地服务拓扑?
提前致谢
问问题
6994 次
3 回答
9
基于此WAF 功能列表,API 管理可以开箱即用地完成其中一些事情,许多事情可以使用自定义策略实现,而其中一些事情无法完成。策略可以操纵 HTTP 请求和响应。但是,它们不能在低于此的水平上发挥作用。
没有内置函数可以尝试防止注入攻击,但可以构建它们。在 API 管理网关和您的 API 之间部署专用 WAF 也是一个合理的选择。
于 2016-03-08T00:16:21.133 回答
3
您可以在子网内将 API 管理服务设为私有,并将带有 WAF 的 App Gateway 放在其前面。棘手的部分是,这仅在 API 管理的高级计划中可用。
但是,由于最终您希望保护您的应用程序而不是 APIMS 免受 SQL 注入等攻击,您可以将 AppGateway+WAF 放在 APIMS 和您的应用程序之间。同时 AppGateway 将成为您的负载均衡器。
SSL 和端到端加密需要注意。
于 2019-06-14T07:01:55.513 回答
2
最好在 APIMS 之上有一个单独的 WAF 模块。
APIMS <-> WAF <-> LB
API 滥用是近来的趋势。我认为许多云提供商内置的 WAF 保护基本上处于步兵阶段。最好使用一些专用的WAF模块
于 2019-06-22T02:19:41.107 回答