你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
API/API 管理安全建议
本文列出了Microsoft Defender for Cloud 中可能看到的所有 API/API 管理安全建议。
环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
Azure API 建议
应启用 Microsoft Defender for API
说明和相关策略:启用 Defender for API 计划,以发现和保护 API 资源免受攻击和安全配置错误。 了解详细信息
严重性:高
应将 Azure API 管理 API 载入 Defender for API
说明和相关策略:将 API 载入 Defender for API 需要 Azure API 管理 服务上的计算和内存利用率。 在载入 API 时监视 Azure API 管理服务的性能,并根据需要横向扩展 Azure API 管理资源。
严重性:高
应禁用未使用的 API 终结点并将其从 Azure API 管理服务中移除
说明和相关策略:作为安全最佳做法,未收到流量 30 天的 API 终结点被视为未使用,应从 Azure API 管理 服务中删除。 保留未使用的 API 终结点可能会带来安全风险。 这些 API 可能是本应从 Azure API 管理服务中弃用,但意外保持活动状态的 API。 此类 API 通常不会受到最新的安全保护。
严重性:低
应对 Azure API 管理中的 API 终结点进行身份验证
说明和相关策略:Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 对于在 Azure API 管理中发布的 API,此建议通过验证是否存在需要订阅的 API 或产品的 Azure API 管理 订阅密钥以及验证 JWT、客户端证书和Microsoft Entra 令牌的策略来评估身份验证。 如果在 API 调用期间未执行这些身份验证机制,则 API 将收到此建议。
严重性:高
API 管理建议
API 管理订阅的范围不应为所有 API
说明和相关策略:API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致数据过度泄露。
严重性:中等
API 管理对 API 后端的调用不应绕过证书指纹或名称验证
说明和相关策略:API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证可提高 API 安全性。
严重性:中等
不应启用 API 管理直接管理终结点
说明和相关策略:Azure API 管理中的直接管理 REST API 绕过 Azure 资源管理器基于角色的访问控制、授权和限制机制,因此会增加服务的漏洞。
严重性:低
API 管理 API 应仅使用加密协议
说明和相关策略:API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议(如 HTTP 或 WS),以确保传输中数据的安全性。
严重性:高
API 管理机密命名值应存储在 Azure Key Vault 中
说明和相关策略:命名值是每个 API 管理服务中名称和值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 从 Azure 密钥保管库引用机密命名值,以提高API 管理和机密的安全性。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。
严重性:中等
API 管理应禁用对服务配置终结点的公用网络访问
说明和相关策略:为了提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点或自承载网关配置终结点。
严重性:中等
API 管理最低 API 版本应设置为 2019-12-01 或更高版本
说明和相关策略:若要阻止服务机密与只读用户共享,应将最低 API 版本设置为 2019-12-01 或更高版本。
严重性:中等
API 管理对 API 后端的调用应进行身份验证
说明和相关策略:从 API 管理到后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。
严重性:中等