Compartilhar via

Proteger sua solução do construtor de API de dados

O Construtor de API de Dados permite que você exponha rapidamente seus dados por meio de pontos de extremidade REST e GraphQL, facilitando a criação de aplicativos modernos. Como esses pontos de extremidade podem fornecer acesso a dados confidenciais, é fundamental implementar medidas de segurança robustas para proteger sua solução contra ameaças e acessos não autorizados.

Este artigo fornece diretrizes sobre como proteger melhor sua solução do Construtor de API de Dados.

Autenticação

  • Use provedores de autenticação fortes: sempre configure o Data API Builder para usar um provedor de autenticação seguro, como o Microsoft Entra ID ou a autenticação dos App Services. Essa configuração garante que somente usuários autorizados possam acessar suas APIs. Para mais informações, consulte Configuração de autenticação.
  • Evite segredos de codificação: nunca armazene segredos de autenticação ou credenciais diretamente nos arquivos de configuração ou no código-fonte. Use métodos seguros, como variáveis de ambiente ou Azure Key Vault. Para obter mais informações, consulte a autenticação do Azure.

Autorização

  • Implementar o RBAC (controle de acesso baseado em função): restrinja o acesso a entidades e ações com base em funções de usuário definindo funções e permissões em sua configuração. Isso limita a exposição de dados e operações confidenciais. Para obter mais informações, consulte as funções.

  • Negar por padrão: por padrão, as entidades não têm permissões configuradas, portanto, ninguém pode acessá-las. Defina explicitamente permissões para cada função para garantir que somente os usuários pretendidos tenham acesso. Para obter mais informações, consulte a autorização .

  • Use o cabeçalho X-MS-API-ROLE para funções personalizadas: exija que os clientes especifiquem o X-MS-API-ROLE cabeçalho para acessar recursos com funções personalizadas, garantindo que as solicitações sejam avaliadas no contexto de segurança correto. Para obter mais informações, consulte o cabeçalho de função personalizado.

Segurança do transporte

  • Impor a segurança da camada de transporte para todas as conexões: verifique se todos os dados trocados entre clientes e o construtor de API de Dados são criptografados usando a segurança da camada de transporte. A TLS (segurança da camada de transporte) protege os dados em trânsito contra interceptação e adulteração. Para obter mais informações, consulte a imposição do TLS.

  • Desabilitar versões herdadas do TLS: configure seu servidor para desabilitar versões TLS desatualizadas (como TLS 1.0 e 1.1) e dependa da configuração padrão do TLS do sistema operacional para dar suporte aos protocolos seguros mais recentes. Para obter mais informações, consulte desabilitar versões herdadas do TLS.

Segurança de configuração

  • Restringir o acesso anônimo: permitir somente acesso anônimo a entidades quando necessário. Como alternativa, exija autenticação para todos os pontos de extremidade para reduzir o risco de exposição não autorizada de dados. Para obter mais informações, consulte a função do sistema anônimo.

  • Limite as permissões ao mínimo necessário: conceda aos usuários e funções apenas as permissões necessárias para executar suas tarefas. Evite usar permissões curinga, a menos que sejam absolutamente essenciais. Para obter mais informações, consulte as permissões.

Monitoramento e atualizações

  • Monitorar e auditar o acesso: detecte atividades suspeitas ou tentativas de acesso não autorizadas revisando regularmente os logs e monitorando o acesso aos endpoints do Data API Builder. Para obter mais informações, consulte Monitor usando o Application Insights.

  • Mantenha as dependências atualizadas: verifique se você tem os patches de segurança e melhorias mais recentes atualizando regularmente o construtor de API de Dados, suas dependências e sua plataforma subjacente. Para obter mais informações, consulte as versões do DAB.

  • Last updated on