更新时间:2025-05-28 GMT+08:00
APIG安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了APIG使用过程中的安全最佳实践,旨在提供可操作的规范性指导以提升整体安全能力。依据该指导文档,能够持续评估APIG的安全状态,有效结合APIG提供的多种安全功能,增强APIG的整体安全防御能力,确保存储于APIG的数据不被泄露或篡改,同时保障数据传输过程中的安全。
本文从以下维度提供建议,您可以据此评估APIG的使用情况,并根据业务需求在此基础上进行安全配置。
身份认证和访问控制
DDoS防护
- 流量控制:
- APIG提供API级别的流量控制策略和流量控制2.0插件策略,用户可以通过为API配置流控策略进行流量控制。
- APIG提供实例级别的流量控制,通过配置ratelimit_api_limits参数设置API全局默认流控值。
- APIG提供实例级别的请求大小控制,通过配置request_body_size参数设置请求中允许携带的Body大小上限。
- APIG支持对接WAF和DDoS防护服务来进行抵御攻击。具体操作请参考使用WAF对APIG进行安全防护和使用DDoS防护服务为APIG抵御DDoS攻击。
数据传输安全
- APIG支持创建HTTP/HTTPS协议的API,默认使用HTTPS。
- APIG支持TLS 1.1和TLS 1.2,推荐使用TLS1.2。具体操作请参考配置API的调用域名章节中的“支持最小TLS版本”参数说明。
- APIG默认支持安全的加密套件,通过配置ssl_ciphers参数按需选择其中的加密套件。
- APIG支持TLS双向认证,包括APIG网关和客户端之间的双向认证(配置请参考配置APIG专享版与客户端间的单向认证或双向认证)和APIG网关和后端服务之间的双向认证(配置请参考创建API章节中的“TLS双向认证”参数说明)。
审计日志和访问日志记录
- APIG默认使用审计日志服务(CTS)记录OpenAPI的执行日志,用户可以在CTS服务页面查看租户最近的操作日志。具体操作请参考审计与日志。
- APIG和云日志服务(LTS)集成,推荐租户在APIG页面开通日志分析功能,可以快速获取并分析API的调用日志。具体操作请参考查看APIG的API调用日志。
父主题: API安全
