在 azure APIM 后面运行的 spring 启动应用程序中不安装 ssl 证书有什么安全问题?
What are the security concerns for not installing ssl certificate in spring boot application which runs behind a azure APIM?
我有一个在 Azure Kubernetes 服务上运行的 spring 启动应用程序,它公开了一个私有 IP,使用这个 IP 我已经在 Azure API 管理器上配置了这个 API。所有流量都将通过 API 管理器进入此 spring 启动应用程序。 APIM 连接的客户端使用来自 azure API 管理器的 SSL 证书进行保护。但是从 API 管理器到后端 API 应用程序是不安全的,它是纯 http。此架构是否存在任何安全问题?
对于您的情况,由于您已经使用 SSL 证书来保护您的 APIM,我认为即使 APIM 和后端之间没有任何安全配置,架构也没有问题 api。 APIM不会暴露你的后台,所以别人无法根据APIM得到你的后台IP或后台url。所以我认为你不需要为你的架构添加任何其他安全配置。
关于Tiny提到的Azure AD的评论,你也可以用Azure AD来保护你的api或者APIM,但是我觉得没必要。
我有一个在 Azure Kubernetes 服务上运行的 spring 启动应用程序,它公开了一个私有 IP,使用这个 IP 我已经在 Azure API 管理器上配置了这个 API。所有流量都将通过 API 管理器进入此 spring 启动应用程序。 APIM 连接的客户端使用来自 azure API 管理器的 SSL 证书进行保护。但是从 API 管理器到后端 API 应用程序是不安全的,它是纯 http。此架构是否存在任何安全问题?
对于您的情况,由于您已经使用 SSL 证书来保护您的 APIM,我认为即使 APIM 和后端之间没有任何安全配置,架构也没有问题 api。 APIM不会暴露你的后台,所以别人无法根据APIM得到你的后台IP或后台url。所以我认为你不需要为你的架构添加任何其他安全配置。
关于Tiny提到的Azure AD的评论,你也可以用Azure AD来保护你的api或者APIM,但是我觉得没必要。