Compartir vía


Controles de cumplimiento normativo de Azure Policy para Azure API Management

SE APLICA A: todos los niveles de API Management

Cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas por Microsoft, conocidas como integraciones, para los dominios de cumplimiento y los controles de seguridad relativos a distintos estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure API Management. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.

El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.

Importante

Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.

FedRAMP High

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los servicios de API Management deben usar una red virtual 1.0.2

FedRAMP Moderate

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los servicios de API Management deben usar una red virtual 1.0.2

Pruebas comparativas de seguridad de Microsoft Cloud

El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Seguridad de redes NS-2 Servicios en la nube seguros con controles de red Los servicios de API Management deben usar una red virtual 1.0.2
Seguridad de redes NS-2 Servicios en la nube seguros con controles de red API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio 1.0.1
Administración de identidades IM-4 Autenticación de servidores y servicios Los puntos de conexión de API en Azure API Management deben autenticarse 1.0.1
Administración de identidades IM-4 Autenticación de servidores y servicios Las llamadas de API Management a las back-end de API deberían autenticarse 1.0.1
Administración de identidades IM-4 Autenticación de servidores y servicios Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres 1.0.2
Administración de identidades IM-8 Restricción de la exposición de credenciales y secretos La versión mínima de API Management debería establecerse en 01-12-2019 o superior 1.0.1
Administración de identidades IM-8 Restricción de la exposición de credenciales y secretos Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault 1.0.2
Acceso con privilegios PA-7 Seguimiento del principio Just Enough Administration (privilegio mínimo) Las suscripciones de API Management no deben tener como ámbito todas las API 1.1.0
Protección de datos DP-3 Cifrar los datos confidenciales en tránsito Las API de API Management solo deben usar protocolos cifrados 2.0.2
Protección de datos DP-6 Uso de un proceso seguro de administración de claves Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault 1.0.2
Administración de recursos AM-2 Uso exclusivo de los servicios aprobados La versión de la plataforma Azure API Management debe ser stv2 1.0.0
Administración de recursos AM-3 Garantizar la seguridad de la administración del ciclo de vida de los recursos Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management 1.0.1
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras El punto de conexión de administración directa de API Management no debe estar habilitado 1.0.2
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras La versión mínima de API Management debería establecerse en 01-12-2019 o superior 1.0.1
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras La versión de la plataforma Azure API Management debe ser stv2 1.0.0

NIST SP 800-171 R2

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso 3.1.3 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones 3.13.1 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones 3.13.2 Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones 3.13.5 Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. Los servicios de API Management deben usar una red virtual 1.0.2

NIST SP 800-53 Rev. 4

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los servicios de API Management deben usar una red virtual 1.0.2

NIST SP 800-53 Rev. 5

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los servicios de API Management deben usar una red virtual 1.0.2
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los servicios de API Management deben usar una red virtual 1.0.2

Tema de la nube de NL BIO

Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
U.07.1 Separación de datos: aislado U.07.1 El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. Los servicios de API Management deben usar una red virtual 1.0.2

Banco de la Reserva de la India: marco informático para bancos, v2016

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Administración de cambios y revisiones y vulnerabilidades Administración de cambios y revisiones y vulnerabilidades-7.7 Los servicios de API Management deben usar una red virtual 1.0.2

RMIT Malasia

Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Resistencia de la red 10.33 Resistencia de la red: 10.33 Los servicios de API Management deben usar una red virtual 1.0.2

Pasos siguientes