Рекомендации по безопасности управления API и API
В этой статье перечислены все рекомендации по безопасности управления API или API, которые можно увидеть в Microsoft Defender для облака.
Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации. Вы можете просмотреть рекомендации на портале , которые применяются к ресурсам.
Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.
Рекомендации по API Azure
Необходимо включить Microsoft Defender для API
Описание и связанная политика. Включите план Defender для API для обнаружения и защиты ресурсов API от атак и неправильной настройки безопасности. Подробнее
Серьезность: высокий уровень
API-интерфейсы Azure Управление API должны быть подключены к Api Defender для API
Описание и связанная политика. Подключение API к Api Defender для API требует использования вычислительных ресурсов и памяти в службе Azure Управление API. Отслеживайте производительность службы Azure Управление API при подключении API и масштабируйте ресурсы Azure Управление API по мере необходимости.
Серьезность: высокий уровень
Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API
Описание и связанная политика. В качестве рекомендации по безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности. Это могут быть API, которые должны были быть устаревшими из службы Azure Управление API, но случайно были оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности.
Серьезность: низкая
Конечные точки API в Azure Управление API должны проходить проверку подлинности
Описание и связанная политика. Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Для API, опубликованных в Azure Управление API, эта рекомендация оценивает проверку подлинности путем проверки наличия ключей подписки Azure Управление API для API или продуктов, где требуется подписка, и выполнения политик для проверки JWT, сертификатов клиентов и токенов Microsoft Entra. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API получит эту рекомендацию.
Серьезность: высокий уровень
Рекомендации по управлению API
Управление API подписки не должны быть ограничены всеми API
Описание и связанная политика: Управление API подписки должны быть ограничены продуктом или отдельным API вместо всех API, что может привести к чрезмерному воздействию данных.
Серьезность: средний
Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени
Описание и связанная политика: Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка SSL-сертификата и имени, чтобы повысить безопасность API.
Серьезность: средний
Управление API конечная точка прямого управления не должна быть включена
Описание и связанная политика. Rest API прямого управления в Azure Управление API проходит управление доступом на основе ролей Azure Resource Manager, авторизацию и механизмы регулирования, что повышает уязвимость службы.
Серьезность: низкая
УПРАВЛЕНИЕ API API должны использовать только зашифрованные протоколы
Описание и связанная политика: API должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS, чтобы обеспечить безопасность передаваемых данных.
Серьезность: высокий уровень
Управление API именованные значения секрета должны храниться в Azure Key Vault
Описание и связанная политика. Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Ссылки на именованные значения секрета из Azure Key Vault для повышения безопасности Управление API и секретов. Azure Key Vault поддерживает детализированные политики управления доступом и смены секретов.
Серьезность: средний
Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети.
Описание и связанная политика. Чтобы повысить безопасность служб Управление API, ограничить подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов.
Серьезность: средний
В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя
Описание и связанная политика. Чтобы запретить доступ к секретам службы пользователям только для чтения, минимальная версия API должна иметь значение 2019-12-01 или выше.
Серьезность: средний
Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности
Описание и связанная политика. Вызовы от Управление API к серверным службам должны использовать некоторую форму проверки подлинности, будь то с помощью сертификатов или учетных данных. Это не применяется к серверным компонентам Service Fabric.
Серьезность: средний