Azure-Sicherheitsbaseline für API Management
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf API Management an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für API Management definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für API Management gelten, wurden ausgeschlossen. Um zu sehen, wie API Management vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, sehen Sie sich die vollständige Zuordnungsdatei API Management Sicherheitsbaseline an.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von API Management zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Web |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert ruhende Kundeninhalte | False |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Stellen Sie Azure API Management in einem Azure Virtual Network (VNET) bereit, um auf Back-End-Dienste innerhalb des Netzwerks zugreifen zu können. Das Entwicklerportal und das API Management-Gateway können so konfiguriert werden, dass darauf entweder über das Internet (extern) oder nur vom VNET (intern) aus zugegriffen werden kann.
- Extern: Auf das API Management-Gateway und Entwicklerportal kann vom öffentlichen Internet über einen externen Lastenausgleich zugegriffen werden. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.
- Intern: Auf das API Management-Gateway und Entwicklerportal kann nur aus dem virtuellen Netzwerk heraus über einen internen Lastenausgleich zugegriffen werden. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.
Referenz: Verwenden eines virtuellen Netzwerks mit Azure API Management
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Stellen Sie Netzwerksicherheitsgruppen (NSG) in Ihren API Management Subnetzen bereit, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Vorsicht: Beim Konfigurieren einer NSG im API Management-Subnetz müssen einige Ports geöffnet sein. Wenn diese Ports nicht verfügbar sind, funktioniert API Management möglicherweise nicht ordnungsgemäß und kann möglicherweise nicht mehr aufgerufen werden.
Hinweis: Konfigurieren von NSG-Regeln für API Management
Referenz: Referenz zur Konfiguration virtueller Netzwerke: API Management
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: In Fällen, in denen Sie API Management-Instanzen nicht in einem virtuellen Netzwerk bereitstellen können, sollten Sie stattdessen einen privaten Endpunkt bereitstellen, um einen privaten Zugriffspunkt für diese Ressourcen einzurichten.
Hinweis: Um private Endpunkte zu aktivieren, kann der API Management instance nicht bereits mit einem externen oder internen virtuellen Netzwerk konfiguriert werden. Eine Verbindung mit privatem Endpunkt unterstützt nur eingehenden Datenverkehr an die API Management-Instanz.
Referenz: Herstellen einer privaten Verbindung mit API Management mithilfe eines privaten Endpunkts
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke mithilfe der IP-ACL-Filterregel für die NSGs, die den Subnetzen des Diensts zugewiesen sind, oder mithilfe eines Umschaltschalters für den Zugriff auf öffentliche Netzwerke.
Hinweis: API Management unterstützt Bereitstellungen in einem virtuellen Netzwerk sowie das Sperren nicht netzwerkbasierter Bereitstellungen mit einem privaten Endpunkt und das Deaktivieren des öffentlichen Netzwerkzugriffs.
Referenz: Deaktivieren des Öffentlichen Netzwerkzugriffs
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierten Definitionen : Microsoft.ApiManagement:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
NS-6: Bereitstellen einer Web Application Firewall
Weitere Anleitungen für NS-6
Um kritische Web-/HTTP-APIs zu schützen, konfigurieren Sie API Management innerhalb eines Virtual Network (VNET) im internen Modus, und konfigurieren Sie eine Azure Application Gateway. Application Gateway ist ein PaaS-Dienst. Das Gateway fungiert als Reverseproxy und verfügt über L7-Lastenausgleich, Routing, Web Application Firewall (WAF) und andere Dienste. Weitere Informationen
Die Kombination aus einer Bereitstellung von API Management in einem internen VNET und dem Application Gateway-Front-End ermöglicht die folgenden Szenarien:
- Verwenden von nur einer API Management-Ressource zum Verfügbarmachen aller APIs sowohl für interne als auch für externe Consumer
- Verwenden von nur einer API Management-Ressource zum Verfügbarmachen eines Teils der APIs für externe Consumer
- Schaffen einer Möglichkeit, mit der der Zugriff auf API Management über das öffentliche Internet ein- und ausgeschaltet werden kann
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode für API Management nach Möglichkeit.
- Konfigurieren Sie Ihr Entwicklerportal für Azure API Management, um Entwicklerkonten per Azure AD zu authentifizieren.
- Konfigurieren Sie Ihre Azure API Management-Instanz so, dass Ihre APIs über das OAuth 2.0-Protokoll mit Azure AD geschützt sind.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Beschränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene, verwalten Sie den Bestand API Management Benutzerkonten, und stimmen Sie den Zugriff nach Bedarf ab. In API Management sind Entwickler die Consumer der APIs, die per API Management verfügbar gemacht werden. Neu erstellte Entwicklerkonten sind standardmäßig „Aktiv“ und werden der Gruppe „Entwickler“ zugewiesen. Entwicklerkonten mit dem Status „Aktiv“ können sämtliche APIs aufrufen, die sie abonniert haben.
Außerdem sind Azure API Management-Abonnements eine Möglichkeit, den Zugriff auf APIs zu sichern und werden mit einem Paar von generierten Abonnementschlüsseln bereitgestellt, die rotation unterstützen.
Anstatt andere Authentifizierungsmethoden zu verwenden, verwenden Sie nach Möglichkeit Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Die Datenebene zu steuern.
Referenz: Authentifizieren mit Basic
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie eine verwaltete Dienstidentität, die von Azure Active Directory (Azure AD) generiert wurde, damit Ihre API Management instance einfach und sicher auf andere von Azure AD geschützte Ressourcen zugreifen können, z. B. Azure Key Vault anstelle von Dienstprinzipalen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Referenz: Authentifizieren mit verwalteter Identität
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
IM-5: Verwenden von einmaligem Anmelden (SSO) für den Anwendungszugriff
Weitere Anleitungen für IM-5
Azure API Management kann so konfiguriert werden, dass Azure Active Directory (Azure AD) als Identitätsanbieter für die Authentifizierung von Benutzern im Entwicklerportal genutzt wird, um von den von Azure AD angebotenen SSO-Funktionen zu profitieren. Nach der Konfiguration können neue Benutzer des Entwicklerportals auswählen, ob sie den Standardanmeldeprozess nutzen, indem sie sich zuerst per Azure AD authentifizieren und nach Abschluss des Vorgangs dann den Anmeldeprozess im Portal durchführen.
Alternativ kann der Anmelde- bzw. Registrierungsvorgang per Delegierung auch weiter angepasst werden. Mit der Delegierung können Sie Anmeldung, Registrierung und Produktabonnierung von Entwicklern mit Ihrer vorhandenen Website umsetzen, anstatt die integrierte Funktion im Entwicklerportal zu verwenden. Dadurch besitzt die Website die Benutzerdaten und kann die Prüfung dieser Schritte auf selbst definierte Weise durchführen.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass Geheimnisse für API Management (benannte Werte) in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.
Referenz: Verwenden benannter Werte in Azure API Management-Richtlinien mit Key Vault Integration
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierten Definitionen : Microsoft.ApiManagement:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin-Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Wenn dies für routinemäßige Verwaltungsvorgänge nicht erforderlich ist, können Sie lokale Administratorkonten nur für den Notfall deaktivieren oder einschränken.
Hinweis: API Management ermöglicht die Erstellung eines lokalen Benutzerkontos. Anstatt diese lokalen Konten zu erstellen, aktivieren Sie nur die Azure Active Directory-Authentifizierung (Azure AD), und weisen Sie diesen Azure AD-Konten Berechtigungen zu.
Referenz: Verwalten von Benutzerkonten in Azure API Management
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um den Zugriff auf Azure API Management zu steuern. Azure API Management nutzt die rollenbasierte Zugriffssteuerung von Azure, um eine differenzierte Zugriffsverwaltung für API Management-Dienste und -Entitäten (z. B. APIs und Richtlinien) zu ermöglichen.
Referenz: Verwenden von Role-Based Access Control in Azure API Management
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierten Definitionen : Microsoft.ApiManagement:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| API Management-Abonnements sollten nicht für alle APIs gelten | API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. | Audit, Disabled, Deny | 1.1.0 |
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Verwalten von Protokollen und Verschlüsselungen in Azure API Management
Weitere Anleitungen für DP-3
Aufrufe auf Verwaltungsebene erfolgen über Azure Resource Manager und TLS. Ein gültiges JSON Web Token (JWT) ist erforderlich. Aufrufe auf Datenebene können mit TLS und einem der unterstützten Authentifizierungsmechanismen (z. B. Clientzertifikat oder JWT) geschützt werden.
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierten Definitionen : Microsoft.ApiManagement:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| API Management-APIs sollten nur verschlüsselte Protokolle verwenden | Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. | Audit, Disabled, Deny | 2.0.2 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Kundendaten in einem API Management instance, einschließlich API-Einstellungen, Produkten, Abonnements, Benutzern, Gruppen und benutzerdefinierten Entwicklerportalinhalten, werden in einer SQL Azure-Datenbank und in Azure Storage gespeichert, die ruhende Inhalte automatisch verschlüsseln.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass von der API Management-Instanz verwendete Schlüssel in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.
Referenz: Voraussetzungen für die Schlüsseltresorintegration
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierten Definitionen : Microsoft.ApiManagement:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. | Audit, Disabled, Deny | 1.0.2 |
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass Geheimnisse für API Management (benannte Werte) in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.
Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und des Azure-Diensts (sofern unterstützt) basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein. Wenn die automatische Rotation in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung gedreht werden.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie integrierte Azure Policy, um die sichere Konfiguration über API Management Ressourcen hinweg zu überwachen und zu erzwingen. Verwenden Sie Azure Policy-Aliase im Namespace „Microsoft.ApiManagement“, um bei Bedarf benutzerdefinierte Azure Policy-Definitionen zu erstellen.
Referenz: Azure Policy integrierten Richtliniendefinitionen für Azure API Management
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Defender für APIs, eine Funktion von Microsoft Defender für Cloud, bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs, die in Azure API Management verwaltet werden.
Das Onboarding von APIs in Defender for APIs ist ein zweistufiger Prozess: Aktivieren des Defender for APIs-Plans für das Abonnement und Durchführen eines Onboardings ungeschützter APIs in Ihre API Management-Instanzen.
Zeigen Sie eine Zusammenfassung aller Sicherheitsempfehlungen und Warnungen für integrierte APIs an, indem Sie im Menü für Ihre API Management instance Microsoft Defender für Cloud auswählen.
Referenz: Aktivieren erweiterter API-Sicherheitsfeatures mithilfe von Microsoft Defender für Cloud
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für API Management. Ressourcenprotokolle bieten umfassende Informationen zu Vorgängen und Fehlern, die für Überwachungs- und Problembehandlungszwecke wichtig sind. Zu den Kategorien von Ressourcenprotokollen für API Management gehören:
- GatewayLogs
- WebSocketConnectionLogs
Referenz: APIM-Ressourcenprotokolle
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Service Native Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Zusätzliche Anleitung: Nutzen Sie die Sicherungs- und Wiederherstellungsfunktionen in Azure API Management-Dienst. Wenn Sie Sicherungsfunktionen nutzen, schreibt Azure API Management Sicherungen in kundeneigene Azure Storage-Konten. Sicherungs- und Wiederherstellungsvorgänge werden von Azure API Management bereitgestellt, um eine vollständige Systemsicherung und -wiederherstellung durchzuführen.
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.