我试图了解 Azure API 管理套件的安全或策略设置中是否包含任何 WAF 功能(例如 OWASP 所描述的)。
如果“不”或“不”知道,那么通过带有 Web 应用程序防火墙 (WAF) 的 Azure API 管理或网络中其他任何地方公开的面向公众的 API(处理 PII)是否有意义?云 -> APIM -> VPN -> 防火墙 -> 本地服务拓扑?
提前致谢
最佳答案
基于this WAF 功能列表,API 管理可以立即执行其中一些操作,许多操作可以使用自定义策略来实现,而其中一些操作无法完成。策略可以操纵 HTTP 请求和响应。然而,它们不能在低于此的级别上运行。
没有内置函数来尝试和防止注入(inject)攻击,但可以构建它们。在 API 管理网关和 API 之间部署专用 WAF 也是一个合理的选择。
关于security - Azure API 管理是否包含 WAF 功能?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35846890/