Zalecenia dotyczące zabezpieczeń usługi API/API Management
W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń usługi API/API Management, które można zobaczyć w Microsoft Defender dla Chmury.
Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.
Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.
Zalecenia dotyczące interfejsu API platformy Azure
Należy włączyć usługę Microsoft Defender dla interfejsów API
Opis i powiązane zasady: Włącz usługę Defender dla interfejsów API, aby odnajdywać i chronić zasoby interfejsu API przed atakami i błędami konfiguracji zabezpieczeń. Dowiedz się więcej
Ważność: Wysoka
Interfejsy API usługi Azure API Management powinny być dołączane do usługi Defender dla interfejsów API
Opis i powiązane zasady: dołączanie interfejsów API do usługi Defender dla interfejsów API wymaga użycia zasobów obliczeniowych i pamięci w usłudze Azure API Management. Monitoruj wydajność usługi Azure API Management podczas dołączania interfejsów API i skaluj zasoby usługi Azure API Management zgodnie z potrzebami.
Ważność: Wysoka
Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management
Opis i powiązane zasady: Jako najlepsze rozwiązanie w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale zostały przypadkowo aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń.
Ważność: Niska
Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane
Opis i powiązane zasady: punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w usłudze Azure API Management ta rekomendacja ocenia uwierzytelnianie poprzez weryfikowanie obecności kluczy subskrypcji usługi Azure API Management dla interfejsów API lub produktów, w których jest wymagana subskrypcja, oraz wykonywanie zasad weryfikacji JWT, certyfikatów klienta i tokenów firmy Microsoft Entra. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie.
Ważność: Wysoka
Zalecenia dotyczące usługi API Management
Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API
Opis i powiązane zasady: subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane.
Ważność: średni rozmiar
Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani sprawdzania poprawności nazwy
Opis i powiązane zasady: usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy, aby poprawić bezpieczeństwo interfejsu API.
Ważność: średni rozmiar
Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management
Opis i powiązane zasady: Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi.
Ważność: Niska
Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów
Opis i powiązane zasady: interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS, aby zapewnić bezpieczeństwo przesyłanych danych.
Ważność: Wysoka
Wpis tajny usługi API Management o nazwach wartości powinien być przechowywany w usłudze Azure Key Vault
Opis i powiązane zasady: Nazwane wartości są kolekcją par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Odwołanie do wpisów tajnych nazwanych wartości z usługi Azure Key Vault w celu zwiększenia bezpieczeństwa usługi API Management i wpisów tajnych. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych.
Ważność: średni rozmiar
Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi
Opis i powiązane zasady: Aby poprawić bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak interfejs API zarządzania dostępem bezpośrednim, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie.
Ważność: średni rozmiar
Minimalna wersja interfejsu API usługi API Management powinna być ustawiona na 2019-12-01 lub nowszą
Opis i powiązane zasady: Aby uniemożliwić udostępnianie wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą.
Ważność: średni rozmiar
Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane
Opis i powiązane zasady: wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy są używane certyfikaty, czy poświadczenia. Nie dotyczy zapleczy usługi Service Fabric.
Ważność: średni rozmiar