Recomendações de segurança de API/gerenciamento de API
Este artigo lista todas as recomendações de segurança de gerenciamento de API/API que você pode ver no Microsoft Defender para Nuvem.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para Nuvem.
Recomendações de API do Azure
O Microsoft Defender para APIs deve estar habilitado
Descrição e política relacionada: habilite o plano do Defender para APIs para descobrir e proteger recursos de API contra ataques e configurações incorretas de segurança. Saiba mais
Gravidade: Alta
As APIs de Gerenciamento de API do Azure devem ser integradas ao Defender para APIs
Descrição e política relacionada: a integração de APIs ao Defender para APIs requer a utilização de computação e memória no serviço de Gerenciamento de API do Azure. Monitore o desempenho do serviço de Gerenciamento de API do Azure durante a integração de APIs e escale horizontalmente seus recursos de Gerenciamento de API do Azure conforme necessário.
Gravidade: Alta
Os pontos de extremidade de API não usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure
Descrição e política relacionada: como prática recomendada de segurança, os pontos de extremidade de API que não receberam tráfego por 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada.
Gravidade: Baixa
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados
Descrição e política relacionada: os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a autenticação por meio da verificação da presença de chaves de assinatura do Gerenciamento de API do Azure para APIs ou produtos em que a assinatura é necessária e a execução de políticas para validar JWT, certificados de cliente e tokens do Microsoft Entra. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação.
Gravidade: Alta
Recomendações de gerenciamento de API
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs
Descrição e política relacionada: as assinaturas de Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.
Gravidade: Média
As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome
Descrição e política relacionada: o Gerenciamento de API deve validar o certificado do servidor de back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.
Gravidade: Média
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve estar habilitado
Descrição e política relacionada: a API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço.
Gravidade: Baixa
As APIs do Gerenciamento de API devem usar apenas protocolos criptografados
Descrição e política relacionada: as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS, para garantir a segurança dos dados em trânsito.
Gravidade: Alta
Os valores secretos nomeados do Gerenciamento de API devem ser armazenados no Azure Key Vault
Descrição e política relacionada: os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos no Azure Key Vault. Os valores nomeados do segredo de referência do Azure Key Vault para melhorar a segurança de Gerenciamento de API e segredos. O Azure Key Vault dá suporte a políticas de rotação de segredo e gerenciamento de acesso granulares.
Gravidade: Média
O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço
Descrição e política relacionada: para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade aos pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração do Git ou ponto de extremidade de configuração de gateways auto-hospedados.
Gravidade: Média
A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior
Descrição e política relacionada: para impedir que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.
Gravidade: Média
As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas
Descrição e política relacionada: as chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric.
Gravidade: Média