Raccomandazioni sulla sicurezza di Gestione API/API
Questo articolo elenca tutte le raccomandazioni sulla sicurezza di Gestione API/API che potrebbero essere visualizzate in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata. È possibile visualizzare le raccomandazioni nel portale che si applicano alle risorse.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Raccomandazioni per le API di Azure
Microsoft Defender per le API deve essere abilitato
Descrizione e criteri correlati: abilitare il piano defender per le API per individuare e proteggere le risorse API da attacchi e configurazioni errate della sicurezza. Ulteriori informazioni
Gravità: alta
Le API di Gestione API di Azure devono essere caricate in Defender per le API
Descrizione e criteri correlati: l'onboarding delle API in Defender per le API richiede l'utilizzo di calcolo e memoria nel servizio Azure Gestione API. Monitorare le prestazioni del servizio azure Gestione API durante l'onboarding delle API e aumentare le istanze delle risorse di Azure Gestione API in base alle esigenze.
Gravità: alta
Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio API Management di Azure
Descrizione e criteri correlati: come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Azure Gestione API. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Queste potrebbero essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più aggiornata.
Gravità: Bassa
Gli endpoint API in API Management di Azure devono essere autenticati
Descrizione e criteri correlati: gli endpoint API pubblicati in Azure Gestione API devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Azure Gestione API, questa raccomandazione valuta l'autenticazione verificando la presenza di chiavi di sottoscrizione di Azure Gestione API per LE API o i prodotti in cui è necessaria la sottoscrizione e l'esecuzione dei criteri per la convalida di token JWT, certificati client e token Microsoft Entra. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione.
Gravità: alta
Consigli di Gestione API
Le sottoscrizioni di API Management non devono essere con ambito per tutte le API
Descrizione e criterio correlato: Gestione API le sottoscrizioni devono essere incluse in un prodotto o in una singola API anziché in tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati.
Gravità: medio
Le chiamate di API Management ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato
Descrizione e criterio correlato: Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida dei nomi per migliorare la sicurezza dell'API.
Gravità: medio
API Management endpoint API Management diretto non deve essere abilitato
Descrizione e criteri correlati: l'API REST di gestione diretta in Azure Gestione API ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio.
Gravità: Bassa
Le API Management API devono usare solo protocolli crittografati
Descrizione e criterio correlato: le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS, per garantire la sicurezza dei dati in transito.
Gravità: alta
I valori denominati del segreto di API Management devono essere archiviati in Azure Key Vault
Descrizione e criterio correlato: i valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Fare riferimento ai valori denominati del segreto di Azure Key Vault per migliorare la sicurezza di Gestione API e segreti. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti.
Gravità: medio
API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio
Descrizione e criteri correlati: per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione degli accessi diretti, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted.
Gravità: medio
API Management versione API minima deve essere impostata su 2019-12-01 o versione successiva
Descrizione e criterio correlato: per impedire la condivisione dei segreti del servizio con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva.
Gravità: medio
API Management le chiamate ai back-end dell'API devono essere autenticate
Descrizione e criteri correlati: le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric.
Gravità: medio