Integrierten Azure Policy-Richtliniendefinitionen für Azure API Management
GILT FÜR: Alle API Management-Ebenen
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure API Management. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen. Wenn Sie nach Richtlinien suchen, die Sie zum Ändern des API-Verhaltens in API Management verwenden können, lesen Sie die API Management-Richtlinienreferenz.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure API Management
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau:] API Management-Dienst sollte zonenredundant sein | Der API Management-Dienst kann zonenredundant konfiguriert werden. Ein API Management-Dienst ist zonenredundant, wenn der SKU-Name „Premium“ lautet und mindestens zwei Einträge im Zonenarray aufweist. Diese Richtlinie identifiziert API Management-Dienste, die nicht über die erforderliche Redundanz zum Überstehen eines Zonenausfalls verfügen. | Audit, Deny, Disabled | 1.0.1-preview |
API-Endpunkte in Azure API Management sollten authentifiziert werden. | API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber u. U. versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Disabled | 1.0.1 |
API Management-APIs sollten nur verschlüsselte Protokolle verwenden | Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. | Audit, Disabled, Deny | 2.0.2 |
API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden | Aufrufe von API Management an Backends sollten eine Form der Authentifizierung verwenden, sei es über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends. | Audit, Disabled, Deny | 1.0.1 |
API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen | Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. | Audit, Disabled, Deny | 1.0.2 |
Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein | Die REST-API für die direkte Verwaltung in Azure API Management umgeht die Mechanismen für die rollenbasierte Azure Resource Manager-Zugriffssteuerung, -Autorisierung und -Drosselung und erhöht so das Sicherheitsrisiko Ihres Diensts. | Audit, Disabled, Deny | 1.0.2 |
Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. | Audit, Disabled, Deny | 1.0.2 |
API Management-Dienst muss eine SKU mit Unterstützung virtueller Netzwerke verwenden | Für unterstützte API Management-SKUs führt die Dienstbereitstellung in einem virtuellen Netzwerk dazu, dass erweiterte Netzwerk- und Sicherheitsfeatures für API Management freigeschaltet werden, durch die Sie mehr Kontrolle über Ihre Netzwerksicherheitskonfiguration erhalten. Weitere Informationen finden Sie unter https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | AuditIfNotExists, Disabled | 1.0.1 |
Die Authentifizierung mit Benutzername und Kennwort sollte für API Management deaktiviert sein | Um das Entwicklerportal besser zu schützen, sollte die Authentifizierung mit Benutzername und Kennwort in API Management deaktiviert werden. Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort. | Audit, Disabled | 1.0.1 |
API Management-Abonnements sollten nicht für alle APIs gelten | API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. | Audit, Disabled, Deny | 1.1.0 |
Die Version der Azure API Management-Plattform sollte stv2 sein | Die Version der Azure API Management-Computeplattform stv1 wird ab dem 31. August 2024 eingestellt, und diese Instanzen sollten zur stv2-Computeplattform migriert werden, um die Unterstützung weiterhin zu erhalten. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
Konfigurieren von API Management-Diensten zum Deaktivieren des Zugriffs auf öffentliche API Management-Dienstkonfigurationsendpunkte | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | DeployIfNotExists, Disabled | 1.1.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für API Management zu routen (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Ändern von API Management, um die Authentifizierung mit Benutzername und Kennwort zu deaktivieren | Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort, um Benutzerkonten und deren Anmeldeinformationen für das Entwicklerportal besser zu schützen. | Ändern | 1.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.