设计Azure API网关的安全架构,用于保护Office的API服务(如用户认证、数据加密、访问控制)。请描述安全组件(如OAuth2、TLS、WAF)、认证流程、以及如何应对DDoS攻击。
微软Product Manager Intern难度:中等
答案
1) 【一句话结论】为保护Office API服务,需构建基于OAuth2认证、TLS加密、WAF防护及DDoS缓解的多层次安全架构,通过身份验证、数据加密、攻击防护和流量清洗,确保用户身份安全、数据传输保密及业务高可用。
2) 【原理/概念讲解】老师口吻解释关键组件:
- OAuth2认证:是授权框架,用于用户身份认证与权限授权,像“门禁系统”——用户登录后获取访问令牌(代表用户身份),网关验证令牌的签名和有效期,确保只有授权用户能访问API。
- TLS 1.3加密:传输层安全协议,像“加密锁”——加密API请求和响应的传输过程,防止中间人窃听或篡改数据。
- WAF(Web应用防火墙):像“安全门卫”——拦截SQL注入、XSS等常见Web攻击,通过配置规则(如IP白名单、攻击模式匹配)保护后端服务。
- DDoS缓解:应对分布式拒绝服务攻击,像“洪水处理池”——通过Azure DDoS防护服务检测并清洗恶意流量,保留正常请求,确保服务可用。
3) 【对比与适用场景】安全组件对比表:
| 组件 | 作用 | 实现方式 | 适用场景 | 注意点 |
|---|---|---|---|---|
| OAuth2 | 用户认证与授权 | Azure AD B2C/自定义授权服务器 | 需多用户授权的API(如Office用户登录) | 需配置授权服务器,令牌管理复杂 |
| TLS | 传输加密 | Azure API网关配置TLS 1.3 | 所有API请求/响应传输场景 | 需确保客户端支持TLS 1.3 |
| WAF | 攻击防护 | Azure WAF规则(SQL注入、XSS等) | 防常见Web攻击(如恶意请求) | 规则需根据业务定制,避免误报 |
| DDoS缓解 | 流量清洗 | Azure DDoS标准/高级服务 | 高流量或易受攻击场景(如Office高并发) | 配置需结合业务流量特征 |
4) 【示例】典型请求流程(伪代码/请求示例):
用户调用“获取用户信息”API的步骤:
- 用户登录:客户端发送POST请求到授权服务器,携带用户名/密码,获取访问令牌(如JWT)。
- 调用API:客户端发送GET请求到API网关,请求头包含
Authorization: Bearer <token>。 - 网关验证:网关验证令牌签名(由Azure AD签名),检查有效期(过期则返回401),根据令牌中的角色(如“admin”)控制访问(如admin可访问所有用户,普通用户仅访问自身)。
- 数据加密:请求/响应通过TLS 1.3加密传输,防止窃听。
- WAF拦截:拦截SQL注入请求(如参数含恶意SQL),返回403。
- DDoS清洗:若流量超阈值,Azure DDoS服务过滤恶意流量,正常请求继续处理。
请求头示例:
GET /api/users/me HTTP/1.1
Host: office-api.azure-api.net
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9... (JWT令牌)
5) 【面试口播版答案】(约90秒):
“面试官您好,针对Azure API网关保护Office API的安全架构,我会从多层次安全组件、认证流程、DDoS应对三方面设计。首先,安全组件包括:1. OAuth2认证:用户登录后获取访问令牌,网关验证令牌的签名和有效期,确保用户身份;2. TLS 1.3加密:所有请求/响应通过TLS加密传输,防止中间人攻击;3. WAF:配置规则拦截SQL注入、XSS等攻击;4. DDoS缓解:集成Azure DDoS服务,通过流量清洗中心过滤恶意流量。认证流程:用户调用API前,先通过OAuth2获取令牌,请求中携带令牌,网关验证后根据权限控制访问。数据加密:传输用TLS 1.3,存储用Azure Key Vault管理密钥。DDoS应对:配置标准层服务,自动检测并清洗恶意流量,确保服务可用。这样构建的架构能全面保护Office API的安全。”
6) 【追问清单】及回答要点:
- 问:令牌过期后如何处理?如何避免用户会话中断?
回答:使用“刷新令牌”(Refresh Token),令牌过期前客户端向授权服务器请求刷新,获取新访问令牌,替换旧令牌,不影响用户会话。 - 问:WAF的规则如何配置?是否需要根据业务定制?
回答:根据Office API的业务逻辑,配置规则(如允许正常IP范围、拦截攻击模式),定期更新规则应对新威胁,避免误报。 - 问:DDoS缓解的延迟时间如何?是否会影响正常用户?
回答:Azure DDoS服务有低延迟流量清洗,正常流量几乎无感知,恶意流量被过滤,确保服务可用性。 - 问:密钥管理如何?如何保护加密密钥?
回答:使用Azure Key Vault管理TLS密钥和加密密钥,实现密钥轮换、访问控制,确保密钥安全。 - 问:认证流程中,跨域请求(CORS)如何处理?
回答:在API网关配置CORS规则,允许来自Office客户端的域名,设置允许的HTTP方法(如GET/POST),确保跨域请求安全。
7) 【常见坑/雷区】:
- 忽略令牌刷新机制,导致用户会话中断;
- WAF规则过于严格,误报正常请求;
- DDoS缓解配置不当,过滤正常流量;
- 认证流程未考虑权限细粒度控制(如越权访问);
- 密钥管理不当,导致密钥泄露。