Wbudowane definicje zasad usługi Azure Policy dla usługi Azure API Management
DOTYCZY: Wszystkie warstwy usługi API Management
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure API Management. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy. Jeśli szukasz zasad, możesz użyć ich do modyfikowania zachowania interfejsu API w usłudze API Management, zobacz Dokumentacja zasad usługi API Management.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Usługa Azure API Management
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Usługa API Management powinna być strefowo nadmiarowa | Usługę API Management można skonfigurować jako strefowo nadmiarową lub nie. Usługa API Management jest strefowo nadmiarowa, jeśli jej nazwa jednostki SKU to "Premium" i ma co najmniej dwa wpisy w tablicy stref. Te zasady identyfikują usługi API Management, które nie mają nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.1—wersja zapoznawcza |
Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. Dowiedz się więcej o zagrożeniu interfejsu API OWASP dla uszkodzonego uwierzytelniania użytkowników tutaj: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie otrzymały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa dla organizacji. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale mogły zostać przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.1 |
Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów | Aby zapewnić bezpieczeństwo przesyłanych danych, interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS. | Inspekcja, Wyłączone, Odmowa | 2.0.2 |
Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane | Wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy za pośrednictwem certyfikatów, czy poświadczeń. Nie dotyczy zapleczy usługi Service Fabric. | Inspekcja, Wyłączone, Odmowa | 1.0.1 |
Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani sprawdzania poprawności nazwy | Aby zwiększyć bezpieczeństwo interfejsu API, usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management | Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
Minimalna wersja interfejsu API usługi API Management powinna być ustawiona na 2019-12-01 lub nowszą | Aby uniemożliwić udostępnianie wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpis tajny usługi API Management o nazwach wartości powinien być przechowywany w usłudze Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Aby zwiększyć bezpieczeństwo usługi API Management i wpisów tajnych, odwołaj się do wpisów tajnych nazwanych wartości z usługi Azure Key Vault. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
Usługa API Management powinna używać jednostki SKU obsługującej sieci wirtualne | W przypadku obsługiwanych jednostek SKU usługi API Management wdrażanie usługi w sieci wirtualnej powoduje odblokowanie zaawansowanych funkcji sieci i zabezpieczeń usługi API Management, co zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://aka.ms/apimvnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | AuditIfNotExists, Disabled | 1.0.1 |
Usługa API Management powinna mieć wyłączone uwierzytelnianie nazwy użytkownika i hasła | Aby lepiej zabezpieczyć portal deweloperów, należy wyłączyć uwierzytelnianie nazwy użytkownika i hasła w usłudze API Management. Konfigurowanie uwierzytelniania użytkowników za pośrednictwem dostawców tożsamości usługi Azure AD lub Azure AD B2C oraz wyłączanie domyślnego uwierzytelniania nazwy użytkownika i hasła. | Inspekcja, wyłączone | 1.0.1 |
Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API | Subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
Wersja platformy Azure API Management powinna być następująca: stv2 | Wersja platformy obliczeniowej stv1 usługi Azure API Management zostanie wycofana z dnia 31 sierpnia 2024 r., a te wystąpienia powinny zostać zmigrowane na platformę obliczeniową stv2 w celu zapewnienia dalszej obsługi. Dowiedz się więcej na stronie https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konfigurowanie usług API Management w celu wyłączenia dostępu do punktów końcowych konfiguracji usługi publicznej usługi API Management | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | DeployIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla usług API Management (microsoft.apimanagement/service) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Modyfikowanie usługi API Management w celu wyłączenia uwierzytelniania nazwy użytkownika i hasła | Aby lepiej zabezpieczyć konta użytkowników portalu deweloperów i ich poświadczenia, skonfiguruj uwierzytelnianie użytkowników za pośrednictwem dostawców tożsamości usługi Azure AD lub Azure AD B2C i wyłącz domyślną nazwę użytkownika i uwierzytelnianie hasłem. | Modyfikowanie | 1.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.