你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Defender for Cloud 启用高级 API 安全功能

适用范围:开发人员 | 基本 | 基本 v2 | 标准 | 标准 v2 | 高级 | 高级 v2

Defender for APIMicrosoft Defender for Cloud 的一项功能,它为托管在 Azure API Management 中的 API 提供完整的生命周期保护、检测和响应覆盖。 该服务使安全从业者能够深入了解其业务关键型 API、了解其安全态势、确定漏洞修复的优先级,并在几分钟内检测活动的运行时威胁。

注意

目前无法在工作区中使用此功能。

Defender for API 的功能包括:

  • 标识外部、未使用或未经身份验证的 API
  • 对接收或响应敏感数据的 API 进行分类
  • 应用配置建议来增强 API 和API Management 服务的安全态势
  • 检测异常和可疑的 API 流量模式以及对 OWASP API 十大漏洞的利用情况
  • 确定威胁修正的优先级
  • 与 SIEM 系统和 Defender 云安全态势管理集成

本文介绍如何使用 Azure 门户从 API Management 实例启用 Defender for API,并查看对加入的 API 的安全建议和警报摘要。

计划限制

  • 目前,Defender for API 仅发现和分析 REST API。
  • Defender for API 目前不会加入使用 API Management 自承载网关公开的或使用 API Management 工作区管理的 API。
  • 多区域部署的次要区域中不支持某些基于 ML 的检测和安全见解(数据分类、身份验证检查、未使用的和外部 API)。 Defender for API 依赖于本地数据管道来确保区域数据驻留并提高此类部署的性能。 

先决条件

  • Azure 订阅中至少有一个 API Management 实例。 Defender for API 在 Azure 订阅级别启用。
  • 必须将一个或多个受支持的 API 导入到 API Management 实例。
  • 用于启用 Defender for API 计划的角色分配。
  • 在要保护的相关 Azure 订阅、资源组或 API Management 实例上的参与者或所有者角色分配。

加入 Defender for API

将 API 加入到 Defender for API 的过程分为两步:为订阅启用 Defender for API 计划,然后在 API Management 实例中加入未受保护的 API。  

提示

还可以直接在 Defender for Cloud 界面中加入 Defender for API,此处提供了更多 API 安全见解和清单体验。

为订阅启用 Defender for API 计划

  1. 登录到门户,然后转到你的 API Management 实例。

  2. 在左侧菜单中选择“Microsoft Defender for Cloud”。

  3. 选择“在订阅上启用 Defender”。

    显示如何在门户中启用 Defender for API 的屏幕截图。

  4. 在“Defender 计划”页上,为 API 计划选择“打开”。

  5. 选择“保存” 。

将未受保护的 API 加入 Defender for API

注意

将 API 加入 Defender for API 可能会增加 API Management 实例的计算、内存和网络利用率,在极端情况下可能会导致 API Management 实例中断。 如果 API Management 实例以高利用率运行,请不要同时加入所有 API。 谨慎地逐步载入 API,同时监视实例的利用率(例如,使用容量指标)并根据需要横向扩展。

  1. 在门户中,回到你的 API Management 实例。

  2. 在左侧菜单中选择“Microsoft Defender for Cloud”。

  3. 在“建议”下,选择“Azure API Management API 应加入到 Defender for API”。 门户中 Defender for API 建议的屏幕截图。

  4. 在下一个屏幕上,查看有关建议的详细信息:

    • 严重性
    • 安全结果的刷新间隔
    • 说明和修正步骤
    • 受影响的资源,分为正常(已加入到 Defender for API)、不正常(未加入)或不适用,以及来自 API Management 的关联元数据

    备注

    受影响的资源包括来自订阅下的所有 API Management 实例的 API 集合 (APIs)。

  5. 不正常资源的列表中,选择要加入到 Defender for API 的 API。

  6. 选择“修复”,然后选择“修复资源”。 在门户中加入不正常的 API 的屏幕截图。

  7. 在“通知”下跟踪已加入的资源的状态。

备注

加入 API 后,Defender for API 需要 30 分钟才能生成其第一个安全见解。 此后,安全见解每 30 分钟刷新一次。

查看安全覆盖范围

从 API Management 加入 API 后,Defender for API 会接收将用于生成安全见解和监视威胁的 API 流量。 Defender for API 会针对有风险和易受攻击的 API 生成安全建议。

可以通过在 API 管理实例的菜单中选择“Microsoft Defender for Cloud”来查看加入的 API 的所有安全建议和警报摘要

  1. 在门户中,转到你的 API 管理实例,然后从左侧菜单中选择“Microsoft Defender for Cloud”

  2. 查看建议安全见解和警报

    门户中 API 安全见解的屏幕截图。

对于收到的安全警报,Defender for API 会建议执行所需分析和验证与 API 关联的潜在攻击或异常的必要步骤。 按照安全警报中的步骤修复 API 并将其恢复到正常状态。

从 Defender for API 登出受保护的 API

可以在门户中使用 Defender for Cloud 从 Defender for API 的保护中删除 API。 有关详细信息,请参阅管理 Defender for API 部署

后续步骤