Azure-säkerhetsbaslinje för API Management
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 för att API Management. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för API Management.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för API Management har exkluderats. Om du vill se hur API Management helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för API Management säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet med hög påverkan på API Management, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Webb |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera Azure API Management i en Azure Virtual Network (VNET), så att den kan komma åt serverdelstjänster i nätverket. Utvecklarportalen och API Management gateway kan konfigureras så att de är tillgängliga antingen från Internet (externt) eller endast inom det virtuella nätverket (internt).
- Externt: den API Management gatewayen och utvecklarportalen är tillgängliga från det offentliga Internet via en extern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
- Internt: API Management-gatewayen och utvecklarportalen är endast tillgängliga från det virtuella nätverket via en intern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
Referens: Använda ett virtuellt nätverk med Azure API Management
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera nätverkssäkerhetsgrupper (NSG) till API Management undernät för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Varning! När du konfigurerar en NSG i API Management undernät finns det en uppsättning portar som måste vara öppna. Om någon av dessa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgänglig.
Obs!Konfigurera NSG-regler för API Management
Referens: Referens för konfiguration av virtuellt nätverk: API Management
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: I fall där du inte kan distribuera API Management instanser till ett virtuellt nätverk bör du i stället distribuera en privat slutpunkt för att upprätta en privat åtkomstpunkt för dessa resurser.
Obs! Om du vill aktivera privata slutpunkter kan API Management-instansen inte redan konfigureras med ett externt eller internt virtuellt nätverk. En privat slutpunktsanslutning stöder endast inkommande trafik till API Management-instansen.
Referens: Anslut privat till API Management med hjälp av en privat slutpunkt
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk antingen med ip-ACL-filtreringsregeln för de NSG:er som tilldelats tjänstens undernät eller en växlingsväxel för åtkomst till offentliga nätverk.
Obs! API Management stöder distributioner till ett virtuellt nätverk, samt låser icke-nätverksbaserade distributioner med en privat slutpunkt och inaktiverar åtkomst till offentliga nätverk.
Referens: Inaktivera åtkomst till offentligt nätverk
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management tjänster ska använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett routningsbart nätverk som du inte kan dirigera internet till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras så att de är tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
NS-6: Distribuera brandvägg för webbprogram
Annan vägledning för NS-6
För att skydda kritiska webb-/HTTP-API:er konfigurerar du API Management i ett Virtual Network (VNET) i internt läge och konfigurerar en Azure Application Gateway. Application Gateway är en PaaS-tjänst. Den fungerar som en omvänd proxy och tillhandahåller L7-belastningsutjämning, routning, brandvägg för webbprogram (WAF) och andra tjänster. Läs mer.
Genom att kombinera API Management som etablerats i ett internt virtuellt nätverk med Application Gateway klientdel kan du göra följande:
- Använd en enda API Management resurs för att exponera alla API:er för både interna konsumenter och externa konsumenter.
- Använd en enda API Management resurs för att exponera en delmängd av API:er för externa konsumenter.
- Ge ett sätt att växla åtkomst till API Management från det offentliga Internet på och av.
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för API Management där det är möjligt.
- Konfigurera Azure API Management Developer Portal för att autentisera utvecklarkonton med hjälp av Azure AD.
- Konfigurera din Azure API Management-instans för att skydda dina API:er med hjälp av OAuth 2.0-protokollet med Azure AD.
Referens: Skydda ett API i Azure API Management med OAuth 2.0-auktorisering med Azure Active Directory
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst, upprätthålla inventering av API Management användarkonton och stämma av åtkomst efter behov. I API Management är utvecklare konsumenter av DE API:er som exponeras med API Management. Som standard är nyligen skapade utvecklarkonton aktiva och associerade med gruppen Utvecklare. Utvecklarkonton som är i ett aktivt tillstånd kan användas för att komma åt alla API:er som de har prenumerationer för.
Azure API Management-prenumerationer är också ett sätt att skydda åtkomsten till API:er och levereras med ett par genererade prenumerationsnycklar som stöder rotation.
I stället för att använda andra autentiseringsmetoder använder du där det är möjligt Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Autentisera med Basic
SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd en hanterad tjänstidentitet som genereras av Azure Active Directory (Azure AD) för att ge din API Management-instans enkel och säker åtkomst till andra Azure AD skyddade resurser, till exempel Azure Key Vault i stället för att använda tjänstens huvudnamn. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Autentisera med hanterad identitet
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
IM-5: Använd enkel inloggning (SSO) för programåtkomst
Annan vägledning för IM-5
Azure API Management kan konfigureras för att utnyttja Azure Active Directory (Azure AD) som identitetsprovider för att autentisera användare på utvecklarportalen för att dra nytta av funktionerna för enkel inloggning som erbjuds av Azure AD. När de har konfigurerats kan nya användare av utvecklarportalen välja att följa den färdiga registreringsprocessen genom att först autentisera via Azure AD och sedan slutföra registreringsprocessen på portalen när den har autentiserats.
Du kan också anpassa inloggningen/registreringen ytterligare genom delegering. Med delegering kan du använda din befintliga webbplats för att hantera inloggning/registrering av utvecklare och prenumeration på produkter, i stället för att använda de inbyggda funktionerna i utvecklarportalen. Det gör att din webbplats kan äga användardata och utföra valideringen av dessa steg på ett anpassat sätt.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplanet
Beskrivning: Åtkomst till dataplan kan styras med hjälp av Azure AD principer för villkorlig åtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Se till att hemligheter för API Management (namngivna värden) lagras i en Azure-Key Vault så att de kan nås och uppdateras på ett säkert sätt.
Referens: Använd namngivna värden i Azure API Management-principer med Key Vault Integration
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management lägsta API-version ska anges till 2019-12-01 eller senare | För att förhindra att tjänsthemligheter delas med skrivskyddade användare ska den lägsta API-versionen anges till 2019-12-01 eller högre. | Granska, neka, inaktiverad | 1.0.1 |
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala Admin-konton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Om det inte krävs för rutinmässiga administrativa åtgärder inaktiverar eller begränsar du eventuella lokala administratörskonton endast för användning i nödsituationer.
Obs! API Management tillåter att ett lokalt användarkonto skapas. I stället för att skapa dessa lokala konton aktiverar du endast Azure Active Directory-autentisering (Azure AD) och tilldelar behörigheter till dessa Azure AD konton.
Referens: Hantera användarkonton i Azure API Management
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att kontrollera åtkomsten till Azure API Management. Azure API Management förlitar sig på rollbaserad Åtkomstkontroll i Azure för att möjliggöra detaljerad åtkomsthantering för API Management tjänster och entiteter (till exempel API:er och principer).
Referens: Så här använder du Role-Based Access Control i Azure API Management
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management prenumerationer ska inte begränsas till alla API:er | API Management prenumerationer bör vara begränsade till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till en överdriven dataexponering. | Granska, inaktiverad, neka | 1.1.0 |
PA-8: Fastställa åtkomstprocess för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Delad |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Hantera protokoll och chiffer i Azure API Management
Annan vägledning för DP-3
Anrop till hanteringsplanet görs via Azure Resource Manager via TLS. En giltig JSON-webbtoken (JWT) krävs. Dataplansanrop kan skyddas med TLS och en av de autentiseringsmekanismer som stöds (till exempel klientcertifikat eller JWT).
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management API:er bör endast använda krypterade protokoll | För att säkerställa säkerheten för data under överföring bör API:er endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS. | Granska, inaktiverad, neka | 2.0.2 |
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Kunddata i en API Management-instans, inklusive API-inställningar, produkter, prenumerationer, användare, grupper och anpassat innehåll i utvecklarportalen, lagras i en SQL Azure-databas och i Azure Storage, som automatiskt krypterar innehållet i vila.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Se till att nycklar som används av API Management lagras i en Azure-Key Vault så att de kan nås och uppdateras på ett säkert sätt.
Referens: Förutsättningar för key vault-integrering
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| API Management hemliga namngivna värden ska lagras i Azure Key Vault | Namngivna värden är en samling namn- och värdepar i varje API Management tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. Om du vill förbättra säkerheten för API Management och hemligheter refererar du till hemligheter med namngivna värden från Azure Key Vault. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation. | Granska, inaktiverad, neka | 1.0.2 |
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Kontrollera att hemligheter för API Management (namngivna värden) lagras i en Azure-Key Vault så att de kan nås och uppdateras på ett säkert sätt.
Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive att skapa, importera, rotera, återkalla, lagra och rensa certifikatet. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på ett definierat schema eller när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i programmet kontrollerar du att de fortfarande roteras med manuella metoder i Azure Key Vault och programmet.
Referens: Skydda serverdelstjänster med klientcertifikatautentisering i Azure API Management
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd inbyggda Azure Policy för att övervaka och framtvinga säker konfiguration över API Management resurser. Använd Azure Policy alias i namnområdet "Microsoft.ApiManagement" för att skapa anpassade Azure Policy definitioner där det behövs.
Referens: Azure Policy inbyggda principdefinitioner för Azure API Management
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Defender för API:er, en funktion för Microsoft Defender för molnet, erbjuder fullständigt livscykelskydd, identifiering och svarstäckning för API:er som hanteras i Azure API Management.
Registrering av API:er till Defender för API:er är en tvåstegsprocess: aktivera Defender för API:er-planen för prenumerationen och registrera oskyddade API:er i dina API Management-instanser.
Visa en sammanfattning av alla säkerhetsrekommendationer och aviseringar för registrerade API:er genom att välja Microsoft Defender för molnet på menyn för din API Management-instans.
Referens: Aktivera avancerade API-säkerhetsfunktioner med Microsoft Defender för molnet
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Aktivera resursloggar för API Management, resursloggar ger omfattande information om åtgärder och fel som är viktiga för gransknings- och felsökningsändamål. Kategorier av resursloggar för API Management omfattar:
- GatewayLogs
- WebSocketConnectionLogs
Referens: APIM-resursloggar
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tjänstens interna säkerhetskopieringsfunktion
Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Delad |
Ytterligare vägledning: Utnyttja säkerhetskopierings- och återställningsfunktionerna i Azure API Management-tjänsten. När du använder säkerhetskopieringsfunktioner skriver Azure API Management säkerhetskopior till kundägda Azure Storage-konton. Säkerhetskopierings- och återställningsåtgärder tillhandahålls av Azure API Management för att utföra fullständig säkerhetskopiering och återställning av systemet.