Ochrana rozhraní API pomocí defenderu pro rozhraní API

Článek
08/07/2024

Defender for API v Programu Microsoft Defender for Cloud nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API.

Defender for API vám pomůže získat přehled o důležitých obchodních rozhraních API. Můžete prozkoumat a vylepšit stav zabezpečení rozhraní API, určit prioritu oprav ohrožení zabezpečení a rychle detekovat aktivní hrozby v reálném čase.

Tento článek popisuje, jak povolit a nasadit plán Defenderu pro rozhraní API na portálu Defender for Cloud. Alternativně můžete povolit defender pro rozhraní API v instanci služby API Management na webu Azure Portal.

Přečtěte si další informace o plánu Rozhraní API v programu Microsoft Defender for Cloud. Přečtěte si další informace o defenderu pro rozhraní API.

Požadavky

Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Než začnete s nasazováním, projděte si podporu, oprávnění a požadavky služby Microsoft Defender for APIs.
Povolíte defender pro rozhraní API na úrovni předplatného.
Ujistěte se, že rozhraní API, která chcete zabezpečit, jsou publikovaná ve službě Azure API Management. Podle těchto pokynů nastavte službu Azure API Management.
Musíte vybrat plán, který uděluje nárok odpovídající objemu přenosů rozhraní API ve vašem předplatném, aby získal co nejoptimálnější ceny. Ve výchozím nastavení se předplatná přihlašují k plánu 1, což může vést k neočekávaným nadlimitním nárokům, pokud má vaše předplatné provoz rozhraní API vyšší než jeden milion nároků na volání rozhraní API.

Povolení plánu Defenderu pro rozhraní API

Při výběru plánu zvažte tyto body:

Defender for API chrání pouze ta rozhraní API, která jsou onboardovaná do Defenderu pro rozhraní API. To znamená, že plán můžete aktivovat na úrovni předplatného a dokončit druhý krok onboardingu tím, že opravíte doporučení pro onboarding. Další informace o onboardingu najdete v průvodci onboardingem.
Defender for API má pět cenových plánů, z nichž každý má jiný limit nároků a měsíční poplatek. Fakturace se provádí na úrovni předplatného.
Fakturace se použije u celého předplatného na základě celkového množství provozu rozhraní API monitorovaného za měsíc pro předplatné.
Přenosy rozhraní API počítané do fakturace se na začátku každého měsíce resetují na 0 (každý fakturační cyklus).
Nadlimitní využití se počítá s přenosy rozhraní API překračujícím limit nároků na výběr plánu během měsíce pro celé předplatné.

Pokud chcete vybrat nejlepší plán pro vaše předplatné na stránce s cenami Microsoft Defenderu pro cloud, postupujte podle těchto kroků a zvolte plán, který odpovídá požadavkům na provoz rozhraní API vašich předplatných:

Přihlaste se k portálu a v defenderu pro cloud vyberte Nastavení prostředí.
Vyberte předplatné, které obsahuje spravovaná rozhraní API, která chcete chránit.
V části Cenový sloupec pro plán rozhraní API vyberte Podrobnosti .
Vyberte plán, který je vhodný pro vaše předplatné.
Zvolte Uložit.

Výběr optimálního plánu na základě historického využití provozu rozhraní API služby Azure API Management

Musíte vybrat plán, který uděluje nárok odpovídající objemu přenosů rozhraní API ve vašem předplatném, aby získal co nejoptimálnější ceny. Ve výchozím nastavení se předplatná přihlašují do plánu 1, což může vést k neočekávaným nadlimitním nárokům, pokud má vaše předplatné provoz rozhraní API vyšší než jeden milion nároků na volání rozhraní API.

Odhad měsíčního provozu rozhraní API ve službě Azure API Management:

Přejděte na portál Azure API Management a v položce řádku nabídek Monitorování vyberte Metriky .
Vyberte časový rozsah jako posledních 30 dnů.
Vyberte a nastavte následující parametry:
1. Rozsah: Název služby Azure API Management
2. Obor názvů metrik: Standardní metriky služby API Management
3. Metrika = požadavky
4. Agregace = součet
Po nastavení výše uvedených parametrů se dotaz automaticky spustí a celkový počet žádostí za posledních 30 dnů se zobrazí v dolní části obrazovky. V příkladu snímku obrazovky výsledkem dotazu je celkový počet požadavků 414.

Poznámka:

Tyto pokyny slouží k výpočtu využití na službu Azure API Management. Pokud chcete vypočítat odhadované využití provozu pro všechny služby API Management v rámci předplatného Azure, změňte parametr Scope na každou službu Azure API Management v rámci předplatného Azure, znovu spusťte dotaz a součet výsledků dotazu.

Pokud nemáte přístup ke spuštění dotazu na metriky, obraťte se na svého interního správce služby Azure API Management nebo na svého správce účtů Microsoft.

Poznámka:

Po povolení defenderu pro rozhraní API se na kartě Doporučení zobrazí onboardovaná rozhraní API až 50 minut. Přehledy zabezpečení jsou k dispozici na řídicím panelu zabezpečení rozhraní API ochrany>úloh během 40 minut od onboardingu.

Onboarding rozhraní API

Na portálu Defender for Cloud vyberte Doporučení.
Vyhledejte Defender pro rozhraní API.
V části Povolit rozšířené funkce zabezpečení vyberte doporučení k zabezpečení rozhraní API služby Azure API Management, která by se měla připojit k defenderu pro rozhraní API:
Na stránce doporučení můžete zkontrolovat závažnost doporučení, interval aktualizace, popis a nápravné kroky.
Projděte si prostředky v rozsahu doporučení:
- Prostředky, které nejsou v pořádku: Prostředky, které nejsou nasazené do defenderu pro rozhraní API.
- Prostředky, které jsou v pořádku: Prostředky rozhraní API, které jsou nasazené v defenderu pro rozhraní API.
- Nepoužitelné prostředky: Prostředky rozhraní API, které nejsou použitelné pro ochranu.
V prostředcích , které nejsou v pořádku, vyberte rozhraní API, která chcete chránit pomocí defenderu pro rozhraní API.
Vyberte Opravit:
V části Oprava prostředků zkontrolujte vybraná rozhraní API a vyberte Opravit prostředky:
Ověřte, že náprava proběhla úspěšně: