Definições de política internas da Política do Azure para o Gerenciamento de API do Azure
APLICA-SE A: Todas as camadas de gerenciamento de API
Esta página é um índice das definições de política internas da Política do Azure para o Gerenciamento de API do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure. Se você estiver procurando por políticas que possa usar para modificar o comportamento da API no Gerenciamento de API, consulte Referência da política de Gerenciamento de API.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
API Management do Azure
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Visualização]: O Serviço de Gerenciamento de API deve ser redundante de zona | O Serviço de Gerenciamento de API pode ser configurado para ser redundante de zona ou não. Um Serviço de Gerenciamento de API é Zona Redundante se seu nome de sku for 'Premium' e tiver pelo menos duas entradas em sua matriz de zonas. Esta política identifica os Serviços de Gerenciamento de API sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.1-Pré-visualização |
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
As APIs de gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS. | Auditar, Desabilitar, Negar | 2.0.2 |
As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica a back-ends do Service Fabric. | Auditar, Desabilitar, Negar | 1.0.1 |
As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome. | Auditar, Desabilitar, Negar | 1.0.2 |
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado | A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço. | Auditar, Desabilitar, Negar | 1.0.2 |
A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Auditoria, Negar, Desativado | 1.0.1 |
Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados de segredo do Cofre de Chaves do Azure. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos. | Auditar, Desabilitar, Negar | 1.0.2 |
O serviço de Gerenciamento de API deve usar uma SKU que ofereça suporte a redes virtuais | Com SKUs suportados de Gerenciamento de API, a implantação do serviço em uma rede virtual desbloqueia recursos avançados de rede e segurança de Gerenciamento de API, o que proporciona maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://aka.ms/apimvnet. | Auditoria, Negar, Desativado | 1.0.0 |
Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desativado | 1.0.1 |
O Gerenciamento de API deve ter a autenticação de nome de usuário e senha desabilitada | Para proteger melhor o portal do desenvolvedor, a autenticação de nome de usuário e senha no Gerenciamento de API deve ser desabilitada. Configure a autenticação do usuário por meio dos provedores de identidade do Azure AD ou do Azure AD B2C e desabilite a autenticação padrão de nome de usuário e senha. | Auditoria, Desativado | 1.0.1 |
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditar, Desabilitar, Negar | 1.1.0 |
A versão da plataforma de Gerenciamento de API do Azure deve ser stv2 | A versão da plataforma de computação stv1 do Azure API Management será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditoria, Negar, Desativado | 1.0.0 |
Configurar serviços de Gerenciamento de API para desabilitar o acesso a pontos de extremidade de configuração de serviço público de Gerenciamento de API | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | DeployIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para serviços de Gerenciamento de API (microsoft.apimanagement/service) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Modificar o Gerenciamento de API para desabilitar a autenticação de nome de usuário e senha | Para proteger melhor as contas de usuário do portal do desenvolvedor e suas credenciais, configure a autenticação do usuário por meio dos provedores de identidade do Azure AD ou do Azure AD B2C e desabilite a autenticação padrão de nome de usuário e senha. | Modificar | 1.1.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.