Freigeben über


Api/API-Verwaltungssicherheitsempfehlungen

In diesem Artikel werden alle Sicherheitsempfehlungen für die API/API-Verwaltung aufgeführt, die in Microsoft Defender für Cloud möglicherweise angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.

Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.

Empfehlungen für Azure-API

Microsoft Defender für APIs muss aktiviert sein.

Beschreibung und zugehörige Richtlinie: Aktivieren Sie defender für APIs, um API-Ressourcen vor Angriffen und Sicherheitsfehlern zu ermitteln und zu schützen. Weitere Informationen

Schweregrad: hoch

Azure API Management-APIs sollten in Defender für APIs integriert werden

Beschreibung und zugehörige Richtlinie: Das Onboarding von APIs in Defender für APIs erfordert Compute- und Speicherauslastung für den Azure API-Verwaltungsdienst. Überwachen Sie die Leistung Ihres Azure API Management-Diensts beim Onboarding von APIs, und skalieren Sie Ihre Azure API Management-Ressourcen nach Bedarf auf.

Schweregrad: hoch

Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden.

Beschreibung und verwandte Richtlinie: Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API-Verwaltungsdienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung.

Schweregrad: Niedrig

API-Endpunkte in Azure API Management sollten authentifiziert werden.

Beschreibung und zugehörige Richtlinie: API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Bei APIs, die in Azure API Management veröffentlicht wurden, bewertet diese Empfehlung die Authentifizierung durch Überprüfen des Vorhandenseins von Azure API Management-Abonnementschlüsseln für APIs oder Produkte, für die ein Abonnement erforderlich ist, sowie die Ausführung von Richtlinien für die Überprüfung von JWT-, Clientzertifikaten und Microsoft Entra-Token. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten.

Schweregrad: hoch

API Management-Empfehlungen

API Management-Abonnements sollten nicht für alle APIs gelten

Beschreibung und verwandte Richtlinie: API-Verwaltungsabonnements sollten auf ein Produkt oder eine einzelne API anstelle aller APIs festgelegt werden, was zu übermäßiger Datenexposition führen kann.

Schweregrad: Mittel

API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen

Beschreibung und zugehörige Richtlinie: Die API-Verwaltung sollte das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensprüfung, um die API-Sicherheit zu verbessern.

Schweregrad: Mittel

Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein

Beschreibung und zugehörige Richtlinie: Die direkte Verwaltungs-REST-API in Azure API Management umgeht die rollenbasierte Zugriffssteuerung, Autorisierung und Drosselungsmechanismen von Azure Resource Manager, wodurch die Sicherheitsanfälligkeit Ihres Diensts erhöht wird.

Schweregrad: Niedrig

API Management-APIs sollten nur verschlüsselte Protokolle verwenden

Beschreibung und verwandte Richtlinie: APIs sollten nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Vermeiden Sie die Verwendung ungesicherter Protokolle wie HTTP oder WS, um die Sicherheit von Daten während der Übertragung zu gewährleisten.

Schweregrad: hoch

Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden

Beschreibung und verwandte Richtlinie: Benannte Werte sind eine Sammlung von Namen- und Wertpaaren in jedem API-Verwaltungsdienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Verweisen Sie auf geheime benannte Werte aus Azure Key Vault, um die Sicherheit von API Management und Geheimnissen zu verbessern. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation.

Schweregrad: Mittel

API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren.

Beschreibung und verwandte Richtlinie: Um die Sicherheit von API-Verwaltungsdiensten zu verbessern, beschränken Sie die Konnektivität mit Dienstenkonfigurationsendpunkten, z. B. die Direct Access Management-API, den Git-Konfigurations-Verwaltungsendpunkt oder den selbst gehosteten Gateways-Konfigurationsendpunkt.

Schweregrad: Mittel

Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden

Beschreibung und verwandte Richtlinie: Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die mindeste API-Version auf 2019-12-01 oder höher festgelegt werden.

Schweregrad: Mittel

API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden

Beschreibung und zugehörige Richtlinie: Aufrufe von API Management zu Back-Ends sollten eine Form der Authentifizierung verwenden, ob über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends.

Schweregrad: Mittel