Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń usługi API/API Management, które można zobaczyć w Microsoft Defender dla Chmury.
Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji. Zalecenia można zobaczyć w portalu , które mają zastosowanie do zasobów.
Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.
Zalecenia dotyczące interfejsu API platformy Azure
Należy włączyć usługę Microsoft Defender dla interfejsów API
Opis i powiązane zasady: Włącz usługę Defender dla interfejsów API, aby odnajdywać i chronić zasoby interfejsu API przed atakami i błędami konfiguracji zabezpieczeń. Dowiedz się więcej
Ważność: Wysoka
Interfejsy API usługi Azure API Management powinny być dołączane do usługi Defender dla interfejsów API
Opis i powiązane zasady: dołączanie interfejsów API do usługi Defender dla interfejsów API wymaga użycia zasobów obliczeniowych i pamięci w usłudze Azure API Management. Monitoruj wydajność usługi Azure API Management podczas dołączania interfejsów API i skaluj zasoby usługi Azure API Management zgodnie z potrzebami.
Ważność: Wysoka
Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management
Opis i powiązane zasady: Jako najlepsze rozwiązanie w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale zostały przypadkowo aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej up-topokrycie zabezpieczeń daty.
Ważność: Niska
Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane
Opis i powiązane zasady: punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w usłudze Azure API Management ta rekomendacja ocenia uwierzytelnianie poprzez weryfikowanie obecności kluczy subskrypcji usługi Azure API Management dla interfejsów API lub produktów, w których jest wymagana subskrypcja, oraz wykonywanie zasad weryfikacji JWT, certyfikatów klienta i tokenów firmy Microsoft Entra. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie.
Ważność: Wysoka
Nieużywane punkty końcowe interfejsu API powinny być wyłączone i usunięte z aplikacji funkcji (wersja zapoznawcza)
Opis i powiązane zasady: punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i stanowią potencjalne zagrożenie bezpieczeństwa. Te punkty końcowe mogły pozostać aktywne przypadkowo, gdy powinny zostać wycofane. Często nieużywane punkty końcowe interfejsu API nie mają najnowszych aktualizacji zabezpieczeń, co czyni je podatnymi na zagrożenia. Aby zapobiec potencjalnym naruszeniom zabezpieczeń, zalecamy wyłączenie i usunięcie tych punktów końcowych wyzwalanych przez protokół HTTP z aplikacji funkcji platformy Azure.
Ważność: Niska
Nieużywane punkty końcowe interfejsu API powinny być wyłączone i usunięte z usługi Logic Apps (wersja zapoznawcza)
Opis i powiązane zasady: punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i stanowią potencjalne zagrożenie bezpieczeństwa. Te punkty końcowe mogły pozostać aktywne przypadkowo, gdy powinny zostać wycofane. Często nieużywane punkty końcowe interfejsu API nie mają najnowszych aktualizacji zabezpieczeń, co czyni je podatnymi na zagrożenia. Aby zapobiec potencjalnym naruszeniom zabezpieczeń, zalecamy wyłączenie i usunięcie tych punktów końcowych z usługi Azure Logic Apps.
Ważność: Niska
Zalecenia dotyczące usługi API Management
Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API
Opis i powiązane zasady: subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane.
Ważność: średni rozmiar
Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani walidacji nazwy
Opis i powiązane zasady: usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy, aby poprawić bezpieczeństwo interfejsu API.
Ważność: średni rozmiar
Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management
Opis i powiązane zasady: Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi.
Ważność: Niska
Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów
Opis i powiązane zasady: interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS, aby zapewnić bezpieczeństwo przesyłanych danych.
Ważność: Wysoka
Wpis tajny usługi API Management o nazwach wartości powinien być przechowywany w usłudze Azure Key Vault
Opis i powiązane zasady: Nazwane wartości są kolekcją par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Odwołanie do wpisów tajnych nazwanych wartości z usługi Azure Key Vault w celu zwiększenia bezpieczeństwa usługi API Management i wpisów tajnych. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych.
Ważność: średni rozmiar
Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi
Opis i powiązane zasady: Aby poprawić bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak interfejs API zarządzania dostępem bezpośrednim, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie.
Ważność: średni rozmiar
Minimalna wersja interfejsu API usługi API Management powinna być ustawiona na 2019-12-01 lub nowszą
Opis i powiązane zasady: Aby uniemożliwić udostępnianie wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą.
Ważność: średni rozmiar
Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane
Opis i powiązane zasady: wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy są używane certyfikaty, czy poświadczenia. Nie dotyczy zapleczy usługi Service Fabric.
Ważność: średni rozmiar