次の方法で共有

API セキュリティ態勢を改善する (プレビュー)

  • [アーティクル]

API は、クラウドネイティブ アプリへのエントリ ポイントです。 サービス、アプリ、データを接続し、攻撃者のターゲットにします。 API セキュリティ態勢管理は、リスクと構成ミスを評価することで API を保護するのに役立ちます。 Microsoft Defender for Cloud の Defender クラウド セキュリティ態勢管理 (CSPM) プランでは、Azure API Management API の API 態勢とリスク評価が提供されます。 これにより、リスク、推奨事項、攻撃パス分析に関する分析情報が提供されます。

Note

アクティブな Defender CSPM プランがある場合は、API セキュリティ態勢管理で、Azure API Management プラットフォームの API がサポートされます。

機能

Defender for Cloud の API セキュリティ態勢管理によって、次の機能が提供されます。

  • マネージド API の可視性を一元化します。 自動的に Defender for Cloud にオンボードすることで、統合インベントリを取得します。
  • 以下の目的でリスク要因を使用して、API セキュリティに関する推奨事項を評価します。
    • 認証されていない API リスクを特定して修正します。
    • 非アクティブまたは休止中の API を検出します。
  • インターネットに公開されている API を特定します。
  • 要求と応答、URL パス、クエリ パラメーター (Microsoft Purview と統合されている) を含め、API エンドポイントでの機密データの公開を特定します。
  • 仮想マシン、コンテナー、ストレージ、データベースなどのバックエンド環境に API をリンクすることで、クラウド アプリケーションの公開リスクを理解します。
  • クラウド セキュリティ エクスプローラーと API 主導の攻撃パス分析を使用して、API 主導の攻撃パスに対処し、軽減策に優先順位を付けます。

統合インベントリ

Defender for Cloud によって、Azure API Management サービス内で公開された API が継続的に検出されます。 Defender for Cloud 資産インベントリAPI セキュリティ ダッシュボードで、態勢分析情報を使用してすべての API を表示できます。 これは、API のリスクに効率的に対処するのに役立ちます。

API セキュリティのベスト プラクティスに優先順位を付けて実装する

破損した、あるいは弱い認証などのリスクの高い問題に対して、API を評価してセキュリティで保護します。 非アクティブな API と、インターネットに直接公開されている API に関する分析情報を取得します。 Defender for Cloud では、潜在的な悪用可能性とビジネスへの影響を考慮して、API リスクをスキャンします。 セキュリティに関する推奨事項には、これらの要因に基づいて優先順位が付けられます。これにより、最初に重大な脆弱性を修正できます。

機密データを公開する API を分類する

データ公開のソースを含め、API URL パス パラメーター、クエリ パラメーター、要求と応答本文で公開されている機密データを評価することで、データのセキュリティを向上させます。 Microsoft Purview では、カスタムの機密情報の種類と秘密度ラベルを使用して、転送中データのリスクをカバーする一般的な分類を作成できます。

サンプリング

API での機密データの公開は、Defender CSPM プラン内のサンプリング方法を使用して評価されます。 この方法では、コストと時間の両方を節約できます。

API リスクを調べ、修復に優先順位を付ける

攻撃パス分析では、API エンドポイントに対するリスクを特定します。特に、認証されていないアクセスや外部への公開などの複数のセキュリティ分析情報を使用します。 Defender CSPM のクラウド セキュリティ エクスプローラーを使用して、仮想マシンやロード バランサーなどのバックエンド コンピューティング環境に API をリンクすることで、API リスク探索を強化します。 この可視性は、セキュリティ チームが API 攻撃面に迅速に優先順位を付けてそれらを軽減し、潜在的な横移動やデータ流出のリスクに関する分析情報を提供するのに役立ちます。

関連するコンテンツ