Rekommendera säkerhetskonfigurationer för Azure API Management
Azure-säkerhetsbaslinjen för API Management tillämpar vägledning från Microsofts Cloud Security Benchmark version 1.0 på API Management. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för API Management.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Nätverkssäkerhet
NS-1: Upprätta nätverkssegmenteringsgränser
Funktion: Integrering av virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet).
Konfigurationsvägledning: Distribuera Azure API Management i ett virtuellt Azure-nätverk (VNET), så att det kan komma åt serverdelstjänster i nätverket. Utvecklarportalen och API Management-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet (extern) eller endast i det virtuella nätverket (internt).
- Externt: API Management-gatewayen och utvecklarportalen är tillgängliga från det offentliga Internet via en extern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
- Konfiguration av externt virtuellt nätverk
- Internt: API Management-gatewayen och utvecklarportalen är endast tillgängliga från det virtuella nätverket via en intern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
- Intern konfiguration av virtuellt nätverk
Funktion: Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät.
Konfigurationsvägledning: Distribuera nätverkssäkerhetsgrupper (NSG) till dina API Management-undernät för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Försiktighet
När du konfigurerar en NSG i API Management-undernätet finns det en uppsättning portar som måste vara öppna. Om någon av dessa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgängligt.
NS-2: Säkra molntjänster med nätverkskontroller
Funktion: Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall).
Konfigurationsvägledning: I fall där du inte kan distribuera API Management-instanser till ett virtuellt nätverk bör du i stället distribuera en privat slutpunkt för att upprätta en privat åtkomstpunkt för dessa resurser.
Not
För att aktivera privata slutpunkter kan API Management-instansen inte redan konfigureras med ett externt eller internt virtuellt nätverk. En privat slutpunktsanslutning stöder endast inkommande trafik till API Management-instansen.
Funktion: Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk".
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk antingen med hjälp av IP ACL-filtreringsregeln för de NSG:er som tilldelats tjänstens undernät eller en växlingsväxel för åtkomst till offentliga nätverk.
Not
API Management stöder distributioner till ett virtuellt nätverk samt låser icke-nätverksbaserade distributioner med en privat slutpunkt och inaktiverar åtkomst till offentliga nätverk.
Funktion: Microsoft Defender för molnövervakning
Inbyggda Definitioner för Azure Policy – Microsoft.ApiManagement:
| Namn (Azure-portalen) |
Beskrivning | effekt(er) | Version (GitHub) |
|---|---|---|---|
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | AuditIfNotExists, inaktiverad | 1.0.1 |
NS-6: Distribuera brandvägg för webbprogram
Annan vägledning för NS-6: För att skydda kritiska webb-/HTTP-API:er konfigurerar du API Management i ett virtuellt nätverk (VNET) i internt läge och konfigurerar en Azure Application Gateway. Application Gateway är en PaaS-tjänst. Den fungerar som en omvänd proxy och tillhandahåller L7-belastningsutjämning, routning, brandvägg för webbprogram (WAF) och andra tjänster. Lära sig mer.
Genom att kombinera API Management som etablerats i ett internt VNET med Application Gateway-klientdelen kan du använda följande scenarier:
- Använd en enda API Management-resurs för att exponera alla API:er för både interna konsumenter och externa konsumenter.
- Använd en enda API Management-resurs för att exponera en delmängd API:er för externa konsumenter.
- Ge ett sätt att växla åtkomst till API Management från det offentliga Internet på och av.
Identitetshantering
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktion: Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst.
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för API Management där det är möjligt.
- Konfigurera utvecklarportalen för Azure API Management för att autentisera utvecklarkonton med hjälp av Azure AD.
- Konfigurera din Azure API Management-instans för att skydda dina API:er med hjälp av OAuth 2.0-protokollet med Azure AD.
Funktion: Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord.
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras där det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst, upprätthålla inventering av API Management-användarkonton och stämma av åtkomst efter behov. I API Management är utvecklare konsumenter av de API:er som exponeras med API Management. Som standard är nyligen skapade utvecklarkonton aktiva och associerade med gruppen Utvecklare. Utvecklarkonton som är i ett aktivt tillstånd kan användas för att komma åt alla API:er som de har prenumerationer för.
Azure API Management-prenumerationer är också ett sätt att skydda åtkomsten till API:er och levereras med ett par genererade prenumerationsnycklar som stöder rotation.
I stället för att använda andra autentiseringsmetoder använder du där det är möjligt Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktion: Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter.
Konfigurationsvägledning: Använd en hanterad tjänstidentitet som genererats av Azure Active Directory (Azure AD) för att ge API Management-instansen enkel och säker åtkomst till andra Azure AD-skyddade resurser, till exempel Azure Key Vault i stället för att använda tjänstens huvudnamn. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Funktion: Tjänsteprincipaler
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstprincipaler.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
IM-5: Använd enkel inloggning (SSO) för programåtkomst
Annan vägledning för IM-5: Azure API Management kan konfigureras för att utnyttja Azure Active Directory (Azure AD) som identitetsprovider för att autentisera användare på utvecklarportalen för att dra nytta av de SSO-funktioner som erbjuds av Azure AD. När de har konfigurerats kan nya användare av utvecklarportalen välja att följa den färdiga registreringsprocessen genom att först autentisera via Azure AD och sedan slutföra registreringsprocessen på portalen när den har autentiserats.
Du kan också anpassa inloggningen/registreringen ytterligare genom delegering. Med delegering kan du använda din befintliga webbplats för att hantera inloggning/registrering av utvecklare och prenumeration på produkter, i stället för att använda de inbyggda funktionerna i utvecklarportalen. Det gör att din webbplats kan äga användardata och utföra valideringen av dessa steg på ett anpassat sätt.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner: Villkorlig åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktion: Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter.
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Se till att hemligheter för API Management (namngivna värden) lagras i ett Azure Key Vault så att de kan nås och uppdateras på ett säkert sätt.
Privilegierad åtkomst
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktion: Lokala administratörskonton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto.
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras där det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Om det inte krävs för rutinmässiga administrativa åtgärder inaktiverar eller begränsar du lokala administratörskonton endast för användning i nödsituationer.
Not
MED API Management kan du skapa ett lokalt användarkonto. I stället för att skapa dessa lokala konton aktiverar du endast Azure Active Directory-autentisering (Azure AD) och tilldelar behörigheter till dessa Azure AD-konton.
PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)
Funktion: Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder.
Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att kontrollera åtkomsten till Azure API Management. Azure API Management förlitar sig på rollbaserad åtkomstkontroll i Azure för att möjliggöra detaljerad åtkomsthantering för API Management-tjänster och entiteter (till exempel API:er och principer).
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktion: Kundlåsbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst.
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
DP-1: Identifiera, klassificera och märka känsliga data
Funktion: Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktion: Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll).
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktion: Kryptering av data under överföring
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Annan vägledning för DP-3: Hanteringsplananrop görs via Azure Resource Manager via TLS. En giltig JSON-webbtoken (JWT) krävs. Dataplansanrop kan skyddas med TLS och en av de autentiseringsmekanismer som stöds (till exempel klientcertifikat eller JWT).
DP-6: Använd en process för säker nyckelhantering
Funktion: Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat.
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Se till att nycklar som används av API Management lagras i ett Azure Key Vault så att de kan nås och uppdateras på ett säkert sätt.
DP-7: Använd en säker certifikathanteringsprocess
Funktion: Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat.
Konfigurationsvägledning: Konfigurera integrering av API Management med Azure Key Vault. Se till att hemligheter för API Management (namngivna värden) lagras i ett Azure Key Vault så att de kan nås och uppdateras på ett säkert sätt.
Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive att skapa, importera, rotera, återkalla, lagra och rensa certifikatet. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på ett definierat schema eller när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i programmet kontrollerar du att de fortfarande roteras med manuella metoder i Azure Key Vault och programmet.
Kapitalförvaltning
AM-2: Använd endast godkända tjänster
Funktion: Stöd för Azure Policy
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy.
Konfigurationsvägledning: Använd inbyggd Azure Policy för att övervaka och framtvinga säker konfiguration mellan API Management-resurser. Använd Azure Policy-alias i namnområdet "Microsoft.ApiManagement" för att skapa anpassade Azure Policy-definitioner där det behövs.
Loggning och hotidentifiering
LT-1: Aktivera funktioner för hotidentifiering
Funktioner: Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktion: Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datakälla, såsom ett lagringskonto eller en Log Analytics-arbetsyta.
Konfigurationsvägledning: Aktivera resursloggar för API Management, resursloggar ger omfattande information om åtgärder och fel som är viktiga för gransknings- och felsökningsändamål. Kategorier av resursloggar för API Management är:
- GatewayLogs
- WebSocketConnectionLogs
Säkerhetskopiering och återställning
BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar
Funktion: Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion: Tjänstens interna säkerhetskopieringsfunktion
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup).
Ytterligare vägledning: Utnyttja funktionerna för säkerhetskopiering och återställning i Azure API Management-tjänsten. När du använder säkerhetskopieringsfunktioner skriver Azure API Management säkerhetskopior till kundägda Azure Storage-konton. Säkerhetskopierings- och återställningsåtgärder tillhandahålls av Azure API Management för att utföra fullständig systemsäkerhetskopiering och återställning.