你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

改进 API 安全态势（预览版）

API 是访问云原生应用的入口点。 他们连接服务、应用和数据，这使其成为攻击者的目标。 API 安全态势管理通过评估风险和错误配置来帮助保护 API。 Microsoft Defender for Cloud 中的 Defender 云安全态势管理 (CSPM) 计划为 Azure API 管理 API 提供 API 态势和风险评估。 该解决方案提供风险见解、相关建议和攻击路径分析。

注意

如果有生效的 Defender CSPM 计划，API 安全态势管理将能够支持 Azure API 管理平台中的 API。

功能

Defender for Cloud 中的 API 安全态势管理有以下功能：

• 为用户提供对托管 API 的一站式了解。 通过将清单自动载入 Defender for Cloud 获取统一清单。
• 使用风险因素评估 API 安全建议，以便：
  • 识别并解决未经验证的 API 风险。
  • 检测非活动或休眠状态的 API。
• 标识向 Internet 公开的 API。
• 识别 API 终结点中的敏感数据暴露情况，包括请求和响应、URL 路径和查询参数（与 Microsoft Purview 集成）。
• 通过将 API 链接到虚拟机、容器、存储和数据库等后端环境，了解云应用程序暴露风险。
• 使用云安全资源管理器和 API 主导的攻击路径分析解决 API 驱动的攻击路径并确定缓解措施的优先级。

统一清单

Defender for Cloud 可持续发现在 Azure API 管理服务中发布的 API。 可以在 Defender for Cloud 资产清单和 API 安全仪表板中查看所有 API 及相关态势见解。 这有助于高效解决 API 风险。

确定 API 安全性最佳做法的优先级和加以实现

评估 API 的风险情况并保护其免受高风险问题（如损坏或身份验证弱）的影响。 获取有关非活动状态 API 和直接向 Internet 公开的 API 的见解。 Defender for Cloud 会扫描 API 风险，考虑潜在的可利用性和业务影响。 将基于这些因素确定安全建议的优先级，使你能够首先解决严重漏洞。

对暴露敏感数据的 API 进行分类

通过评估 API URL 路径参数、查询参数及请求和响应正文（包括数据暴露源）中暴露的敏感数据来提高数据安全性。 通过使用 Microsoft Purview，可以使用自定义敏感信息类型和敏感度标签来创建常见的分类，并涵盖传输中的数据风险。

采样

将使用 Defender CSPM 计划中的抽样方法评估 API 中的敏感数据暴露情况。 此方法可同时节省成本和时间。

深入了解 API 风险并确定修正优先级

攻击路径分析可识别 API 终结点的风险，尤其是可提供多个安全见解（例如未经身份验证的访问和外部暴露）。 使用 Defender CSPM 的 云安全资源管理器，通过将 API 与虚拟机和负载均衡器等后端计算环境链接在一起来丰富对 API 风险的认知。 此认知可帮助安全团队快速确定优先级并缓解 API 攻击面，深入了解潜在的横向移动或数据外泄风险。

相关内容

• 使用 Defender CSPM 启用 API 安全态势。
• 查看安全建议。
• 识别和修正攻击路径。
• 使用 Defender for API 工作负载保护监视 API 威胁。