API/API Management のセキュリティに関する推奨事項
この記事では、Microsoft Defender for Cloud に表示されるすべての API/API Management のセキュリティに関する推奨事項の一覧を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
Azure API の推奨事項
Microsoft Defender for API を有効にする必要がある
説明と関連ポリシー: 攻撃やセキュリティの誤った構成から API リソースを検出して保護する Defender for API プランを有効にします。 詳細情報
重大度: 高
Azure API Management API を Defender for API にオンボードする必要がある
説明と関連ポリシー: Api を Defender for API にオンボードするには、Azure API Management サービスでのコンピューティングとメモリの使用率が必要です。 API のオンボード中に Azure API Management サービスのパフォーマンスを監視し、必要に応じて Azure API Management リソースをスケールアウトします。
重大度: 高
使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要がある
説明と関連ポリシー: セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 使用されていない API エンドポイントを保持しておくと、セキュリティ リスクが発生するおそれがあります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。
重大度: 低
Azure API Management の API エンドポイントを認証する必要がある
説明と関連ポリシー: Azure API Management 内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 Azure API Management で公開されている API の場合、この推奨事項では、サブスクリプションが必要な API または製品の Azure API Management サブスクリプション キーの存在と、 JWT、 client 証明書、および Microsoft Entra トークンを検証するためのポリシーの実行を通じて認証を評価します。 API 呼び出し中にこれらの認証メカニズムがどれも実行されない場合は、API にこの推奨事項が適用されます。
重大度: 高
API の管理に関する推奨事項
API Management サブスクリプションのスコープをすべての API に限定することはできない
説明と関連ポリシー: API Management サブスクリプションは、すべての API ではなく製品または個々の API にスコープを設定する必要があります。そのため、データが過剰に公開される可能性があります。
重大度: 中
API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない
説明と関連ポリシー: API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 API のセキュリティを強化するために、SSL 証明書の拇印と名前の検証を有効にしてください。
重大度: 中
API Management の直接管理エンドポイントを有効にしてはならない
説明と関連ポリシー: Azure API Management の直接管理 REST API は、Azure Resource Manager のロールベースのアクセス制御、承認、調整のメカニズムをバイパスするため、サービスの脆弱性が高まります。
重大度: 低
API Management APIs では暗号化されたプロトコルのみを使用する必要があります
説明と関連するポリシー: API は、HTTPS や WSS などの暗号化されたプロトコルを介してのみ使用できます。 転送中のデータのセキュリティを確保するために、HTTP や WS などのセキュリティで保護されていないプロトコルは使用しないでください。
重大度: 高
API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある
説明および関連ポリシー: 名前付き値は、各 API Management サービスの名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するために、Azure Key Vault のシークレットの名前付きの値を参照してください。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。
重大度: 中
API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある
説明と関連ポリシー: API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限します。
重大度: 中
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある
説明と関連ポリシー: サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以降に設定する必要があります。
重大度: 中
API Management から API バックエンドへの呼び出しは認証する必要がある
説明と関連するポリシー: API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用して、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。
重大度: 中