Recommandations en matière de sécurité de gestion des API/API
Cet article répertorie toutes les recommandations de sécurité de gestion des API/API que vous pouvez voir dans Microsoft Defender pour le cloud.
Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée.
Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.
Recommandations relatives à l’API Azure
Microsoft Defender pour API doit être activé
Description & stratégie associée : activez le plan Defender pour LES API pour détecter et protéger les ressources d’API contre les attaques et les erreurs de configuration de sécurité. En savoir plus
Gravité : élevée
Les API Azure Gestion des API doivent être intégrées à Defender pour les API
Description & stratégie associée : l’intégration d’API à Defender pour les API nécessite l’utilisation du calcul et de la mémoire sur le service Azure Gestion des API. Supervisez les performances de votre service Gestion des API Azure lors de l’intégration des API et effectuez un scale-out de vos ressources Azure Gestion des API en fonction des besoins.
Gravité : élevée
Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure
Description & stratégie associée : Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Azure Gestion des API. La conservation des points de terminaison d’API inutilisés peut présenter un risque de sécurité. Il s’agit peut-être d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui ont été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente.
Gravité : faible
Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés
Description & stratégie associée : les points de terminaison d’API publiés dans Azure Gestion des API doivent appliquer l’authentification pour réduire le risque de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Pour les API publiées dans Azure Gestion des API, cette recommandation évalue l’authentification par le biais de la vérification de la présence de clés d’abonnement Azure Gestion des API pour les API ou les produits où l’abonnement est requis, ainsi que l’exécution de stratégies de validation des jetons JWT, des certificats clients et des jetons Microsoft Entra. Si aucun de ces mécanismes d’authentification n’est exécuté pendant l’appel d’API, l’API reçoit cette recommandation.
Gravité : élevée
Recommandations relatives à la gestion des API
Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API
Description & stratégie associée : Gestion des API abonnements doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données.
Gravité : moyenne
Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom
Description & stratégie associée : Gestion des API devez valider le certificat de serveur principal pour tous les appels d’API. Activez la validation du nom et l’empreinte numérique du certificat SSL pour améliorer la sécurité de l’API.
Gravité : moyenne
Le point de terminaison direct de Gestion des API ne doit pas être activé
Description & stratégie associée : l’API REST de gestion directe dans Azure Gestion des API contourne le contrôle d’accès, l’autorisation et les mécanismes de limitation en fonction du rôle Azure Resource Manager, ce qui augmente la vulnérabilité de votre service.
Gravité : faible
Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés
Description & stratégie associée : les API doivent être disponibles uniquement par le biais de protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS pour garantir la sécurité des données en transit.
Gravité : élevée
Les valeurs nommées des secrets de Gestion des API doivent être stockées dans Azure Key Vault
Description & stratégie associée : les valeurs nommées sont une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées en tant que texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Référencez les valeurs nommées des secrets d’Azure Key Vault pour améliorer la sécurité de Gestion des API et des secrets. Azure Key Vault prend en charge la gestion précise des accès et les stratégies de rotation des secrets.
Gravité : moyenne
Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service
Description & stratégie associée : Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration de service, comme l’API de gestion des accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergés.
Gravité : moyenne
La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure.
Description & stratégie associée : pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version minimale de l’API doit être définie sur 2019-12-01 ou version ultérieure.
Gravité : moyenne
Les appels de Gestion des API aux back-ends d’API doivent être authentifiés
Description & stratégie associée : les appels de Gestion des API aux back-ends doivent utiliser une forme d’authentification, que ce soit par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric.
Gravité : moyenne