Linha de base de segurança do Azure para Gestão de API
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 para Gestão de API. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Gestão de API.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis aos Gestão de API foram excluídas. Para ver como Gestão de API mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Gestão de API.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Gestão de API, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Web |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Falso |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente o Azure Gestão de API dentro de um Rede Virtual do Azure (VNET), para que possa aceder aos serviços de back-end na rede. O portal do programador e Gestão de API gateway podem ser configurados para serem acessíveis a partir da Internet (Externa) ou apenas na Vnet (Interna).
- Externo: o gateway de Gestão de API e o portal do programador estão acessíveis a partir da Internet pública através de um balanceador de carga externo. O gateway pode aceder aos recursos na rede virtual.
- Interno: o gateway de Gestão de API e o portal do programador só estão acessíveis a partir da rede virtual através de um balanceador de carga interno. O gateway pode aceder aos recursos na rede virtual.
Referência: Utilizar uma rede virtual com o Azure Gestão de API
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente grupos de segurança de rede (NSG) nas sub-redes Gestão de API para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Atenção: ao configurar um NSG na sub-rede Gestão de API, é necessário abrir um conjunto de portas. Se alguma destas portas estiver indisponível, Gestão de API poderá não funcionar corretamente e pode ficar inacessível.
Nota: Configurar regras do NSG para Gestão de API
Referência: Referência da configuração da rede virtual: Gestão de API
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em casos em que não consegue implementar Gestão de API instâncias numa rede virtual, deve implementar um ponto final privado para estabelecer um ponto de acesso privado para esses recursos.
Nota: para ativar pontos finais privados, a instância Gestão de API ainda não pode ser configurada com uma rede virtual externa ou interna. Uma ligação de ponto final privado só suporta tráfego de entrada para a instância Gestão de API.
Referência: Ligar em privado a Gestão de API através de um ponto final privado
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o acesso à rede pública utilizando a regra de filtragem da ACL IP nos NSGs atribuídos às sub-redes do serviço ou um comutador de agregação para acesso à rede pública.
Nota: Gestão de API suporta implementações numa rede virtual, bem como bloquear implementações não baseadas na rede com um ponto final privado e desativar o acesso à rede pública.
Referência: Desativar o Acesso à Rede Pública
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ApiManagement:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gestão de API serviços devem utilizar uma rede virtual | A implementação do Azure Rede Virtual fornece segurança, isolamento e isolamento melhorados e permite-lhe colocar o seu serviço de Gestão de API numa rede encaminhável não internet à qual controla o acesso. Estas redes podem então ser ligadas às suas redes no local através de várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou no local. O portal do programador e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
NS-6: Implementar a firewall de aplicações Web
Outras orientações para NS-6
Para proteger APIs Web/HTTP críticas, configure Gestão de API num Rede Virtual (VNET) no modo interno e configure uma Gateway de Aplicação do Azure. Gateway de Aplicação é um serviço PaaS. Atua como um proxy inverso e fornece balanceamento de carga L7, encaminhamento, firewall de aplicações Web (WAF) e outros serviços. Saiba mais.
Combinar Gestão de API aprovisionados numa VNET interna com o front-end de Gateway de Aplicação permite os seguintes cenários:
- Utilize um único recurso Gestão de API para expor todas as APIs aos consumidores internos e aos consumidores externos.
- Utilize um único recurso Gestão de API para expor um subconjunto de APIs a consumidores externos.
- Forneça uma forma de mudar o acesso para Gestão de API a partir da Internet pública ativada e desativada.
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para Gestão de API sempre que possível.
- Configure o Portal do Programador do Azure Gestão de API para autenticar contas de programador com Azure AD.
- Configure a instância do Azure Gestão de API para proteger as SUAS APIs com o protocolo OAuth 2.0 com Azure AD.
Referência: Proteger uma API no Azure Gestão de API com a autorização do OAuth 2.0 com o Azure Active Directory
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para acesso ao plano de dados, mantenha o inventário de contas de utilizador Gestão de API e reconciliar o acesso conforme necessário. No Gestão de API, os programadores são os consumidores das APIs expostas com Gestão de API. Por predefinição, as contas de programador recentemente criadas são Ativas e estão associadas ao grupo Programadores. As contas de programador que estão num estado ativo podem ser utilizadas para aceder a todas as APIs para as quais têm subscrições.
Além disso, as subscrições do Azure Gestão de API são uma forma de proteger o acesso às APIs e incluem um par de chaves de subscrição geradas que suportam a rotação.
Em vez de utilizar outros métodos de autenticação, sempre que possível, utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Autenticar com Básico
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize uma Identidade de Serviço Gerida gerada pelo Azure Active Directory (Azure AD) para permitir que a sua instância Gestão de API aceda de forma fácil e segura a outros recursos protegidos por Azure AD, como o Azure Key Vault em vez de utilizar principais de serviço. As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Autenticar com a identidade gerida
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
IM-5: Utilizar o início de sessão único (SSO) para o acesso à aplicação
Outras orientações para MI-5
O Azure Gestão de API pode ser configurado para tirar partido do Azure Active Directory (Azure AD) como fornecedor de identidade para autenticar utilizadores no Portal do Programador para beneficiar das capacidades de SSO oferecidas pelo Azure AD. Depois de configurados, os novos utilizadores do Portal do Programador podem optar por seguir o processo de inscrição inicial ao autenticar primeiro através de Azure AD e, em seguida, concluir o processo de inscrição no portal uma vez autenticado.
Em alternativa, o processo de início de sessão/inscrição pode ser ainda mais personalizado através da delegação. A delegação permite-lhe utilizar o seu site existente para processar o início de sessão/inscrição do programador e a subscrição de produtos, em vez de utilizar a funcionalidade incorporada no portal do programador. Permite que o seu site possua os dados de utilizador e efetue a validação destes passos de forma personalizada.
IM-7: Restringir o acesso a recursos com base em condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: configure a integração de Gestão de API com o Azure Key Vault. Certifique-se de que os segredos para Gestão de API (Valores nomeados) são armazenados num Key Vault do Azure para que possam ser acedidos e atualizados de forma segura.
Referência: Utilizar valores nomeados nas políticas de Gestão de API do Azure com a Integração de Key Vault
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ApiManagement:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gestão de API versão mínima da API deve ser definida como 2019-12-01 ou superior | Para impedir que os segredos de serviço sejam partilhados com utilizadores só de leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Auditoria, Negar, Desativado | 1.0.1 |
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: se não for necessário para operações administrativas de rotina, desative ou restrinja quaisquer contas de administrador local apenas para utilização de emergência.
Nota: Gestão de API permite a criação de uma conta de utilizador local. Em vez de criar estas contas locais, ative apenas a autenticação do Azure Active Directory (Azure AD) e atribua permissões a estas contas Azure AD.
Referência: Como gerir contas de utilizador no Azure Gestão de API
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para controlar o acesso ao Azure Gestão de API. O Azure Gestão de API depende do controlo de acesso baseado em funções do Azure para permitir uma gestão de acesso detalhada para serviços e entidades Gestão de API (por exemplo, APIs e políticas).
Referência: Como utilizar Role-Based Controlo de Acesso no Azure Gestão de API
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ApiManagement:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gestão de API subscrições não devem ser confinadas a todas as APIs | Gestão de API subscrições devem ser confinadas a um produto ou a uma API individual em vez de todas as APIs, o que pode resultar numa exposição excessiva aos dados. | Auditoria, Desativado, Negar | 1.1.0 |
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Gerir protocolos e cifras no Azure Gestão de API
Outras orientações para DP-3
As chamadas do plano de gestão são efetuadas através do Azure Resource Manager através do TLS. É necessário um token Web JSON (JWT) válido. As chamadas do plano de dados podem ser protegidas com TLS e um dos mecanismos de autenticação suportados (por exemplo, certificado de cliente ou JWT).
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ApiManagement:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gestão de API APIs devem utilizar apenas protocolos encriptados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas através de protocolos encriptados, como HTTPS ou WSS. Evite utilizar protocolos não garantidos, como HTTP ou WS. | Auditoria, Desativado, Negar | 2.0.2 |
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: os dados dos clientes numa instância Gestão de API, incluindo definições de API, produtos, subscrições, utilizadores, grupos e conteúdos personalizados do portal do programador, são armazenados numa base de dados SQL Azure e no Armazenamento do Azure, que encripta automaticamente o conteúdo inativo.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: configure a integração de Gestão de API com o Azure Key Vault. Certifique-se de que as chaves utilizadas pelos Gestão de API são armazenadas num Key Vault do Azure para que possam ser acedidas e atualizadas de forma segura.
Referência: Pré-requisitos para a integração do cofre de chaves
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ApiManagement:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gestão de API valores com nome de segredo devem ser armazenados no Azure Key Vault | Os valores nomeados são uma coleção de pares de nomes e valores em cada serviço Gestão de API. Os valores secretos podem ser armazenados como texto encriptado no Gestão de API (segredos personalizados) ou ao referenciar segredos no Azure Key Vault. Para melhorar a segurança de Gestão de API e segredos, referencie valores nomeados de segredos do Azure Key Vault. O Azure Key Vault suporta políticas de gestão de acesso granular e rotação de segredos. | Auditoria, Desativado, Negar | 1.0.2 |
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: configure a integração de Gestão de API com o Azure Key Vault. Certifique-se de que os segredos de Gestão de API (Valores nomeados) são armazenados num Key Vault do Azure para que possam ser acedidos e atualizados de forma segura.
Utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Referência: proteger os serviços de back-end com a autenticação de certificados de cliente no Azure Gestão de API
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Azure Policy incorporados para monitorizar e impor a configuração segura em recursos Gestão de API. Utilize Azure Policy aliases no espaço de nomes "Microsoft.ApiManagement" para criar definições de Azure Policy personalizadas sempre que necessário.
Referência: Azure Policy definições de política incorporadas para o Azure Gestão de API
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o Defender para APIs, uma capacidade de Microsoft Defender para a Cloud, oferece proteção completa do ciclo de vida, deteção e cobertura de resposta para APIs geridas no Azure Gestão de API.
A inclusão de APIs no Defender para APIs é um processo de dois passos: ativar o plano do Defender para APIs para a subscrição e integrar APIs desprotegidas nas instâncias de Gestão de API.
Veja um resumo de todas as recomendações e alertas de segurança para APIs integradas ao selecionar Microsoft Defender para a Cloud no menu da sua instância de Gestão de API.
Referência: Ativar funcionalidades avançadas de segurança da API com o Microsoft Defender para a Cloud
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para Gestão de API, os registos de recursos fornecem informações avançadas sobre operações e erros que são importantes para fins de auditoria e resolução de problemas. As categorias de registos de recursos para Gestão de API incluem:
- GatewayLogs
- WebSocketConnectionLogs
Referência: Registos de Recursos da APIM
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Orientação Adicional: tire partido das capacidades de cópia de segurança e restauro no serviço Gestão de API do Azure. Ao tirar partido das capacidades de cópia de segurança, o Azure Gestão de API escreve cópias de segurança em contas de Armazenamento do Azure pertencentes ao cliente. As operações de cópia de segurança e restauro são fornecidas pelo Azure Gestão de API para executar a cópia de segurança e o restauro completos do sistema.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure