تعريفات النهج المضمنة ل Azure نهج إدارة API Azure
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
هذه الصفحة عبارة عن فهرس لتعريفات نهج Azure المضمنة لإدارة Azure API. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy. إذا كنت تبحث عن نهج يمكنك استخدامها لتعديل سلوك واجهة برمجة التطبيقات في APIM، فراجع مرجع نهج إدارة واجهة برمجة التطبيقات.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
إدارة Azure API
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تكون خدمة إدارة واجهة برمجة التطبيقات متكررة في المنطقة | يمكن تكوين خدمة إدارة واجهة برمجة التطبيقات لتكون المنطقة زائدة عن الحاجة أم لا. خدمة إدارة واجهة برمجة التطبيقات هي المنطقة المكررة إذا كان اسم sku الخاص بها هو 'Premium' ولها إدخالان على الأقل في صفيف مناطقها. يحدد هذا النهج خدمات إدارة واجهة برمجة التطبيقات التي تفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management | يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. تعرف على المزيد حول تهديد واجهة برمجة تطبيقات OWASP لمصادقة المستخدم المعطلة هنا: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management | كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا على مؤسستك. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management ولكن قد تكون تركت نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تستخدم واجهات برمجة تطبيقات API Management بروتوكولات مشفرة فقط | لضمان أمان البيانات أثناء النقل، يجب أن تكون واجهات برمجة التطبيقات متاحة فقط من خلال بروتوكولات مشفرة، مثل HTTPS أو WSS. تجنب استخدام بروتوكولات غير آمنة، مثل HTTP أو WS. | تدقيق، تعطيل، رفض | 2.0.2 |
| يجب مصادقة استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات | يتعين أن تستخدم الاستدعاءات الصادرة عن APIM إلى الخلفيات شكلاً من أشكال المصادقة، سواء عبر الشهادات أو بيانات الاعتماد. لا تنطبق على خلفيات Service Fabric. | تدقيق، تعطيل، رفض | 1.0.1 |
| يجب ألا تتجاوز استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات خطة التحقق من صحة بصمة الإبهام أو الاسم | لتحسين أمان واجهة برمجة التطبيقات، يجب أن تتحقق إدارة واجهة برمجة التطبيقات من صحة شهادة الخادم الخلفي لجميع استدعاءات واجهة برمجة التطبيقات. تمكين بصمة إبهام شهادة SSL والتحقق من صحة الاسم. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب عدم تمكين نقطة نهاية الإدارة المباشرة لإدارة واجهة برمجة التطبيقات | تتجاوز واجهة برمجة تطبيقات REST للإدارة المباشرة في Azure API Management آليات التحكم في الوصول المستندة إلى دور Azure Resource Manager والتخويل والتقييد، مما يزيد من ثغرة الخدمة. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب تعيين إصدار واجهة برمجة التطبيقات للحد الأدنى من APIM إلى 2019-12-01 أو أحدث | لمنع مشاركة أسرار الخدمة مع مستخدمي القراءة فقط، يتعين تعيين الحد الأدنى لإصدار واجهة برمجة التطبيقات إلى 2019-12-01 أو أحدث. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تخزين البيانات السرية لإدارة API المسماة في Azure Key Vault | القيم المسماة هي مجموعة من أزواج الأسماء والقيم في كل خدمة APIM. يمكن تخزين القيم السرية إما كنص مشفر في APIM (أسرار مخصصة) أو عن طريق الرجوع إلى الأسرار في Azure Key Vault. لتحسين أمان إدارة واجهة برمجة التطبيقات والأسرار، راجع البيانات السرية المسماة من Azure Key Vault. يدعم Azure Key Vault إدارة الوصول متعدد المستويات ونهج تدوير البيانات السرية. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب أن تستخدم خدمة API Management وحدة SKU تدعم الشبكات الظاهرية | مع وحدات SKUs المعتمدة في API Management، يؤدي توزيع الخدمة في شبكة ظاهرية إلى إلغاء تأمين ميزات شبكة API Management وميزات الأمان المتطورة التي تمنحك تحكماً أكبر في تكوين أمان الشبكة. تعرف على المزيد من خلال: https://aka.ms/apimvnet. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة | لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر أو نقطة نهاية إدارة تكوين Git أو نقطة نهاية تكوين البوابات المستضافة ذاتيا. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل مصادقة اسم المستخدم وكلمة المرور لإدارة واجهة برمجة التطبيقات | لتأمين مدخل المطور بشكل أفضل، يجب تعطيل مصادقة اسم المستخدم وكلمة المرور في APIM. تكوين مصادقة المستخدم من خلال موفري هوية Azure AD أو Azure AD B2C وتعطيل مصادقة اسم المستخدم وكلمة المرور الافتراضية. | المراجعة، معطلة | 1.0.1 |
| يجب عدم تحديد نطاق اشتراكات APIM لجميع واجهات برمجة التطبيقات | يجب تحديد نطاق اشتراكات إدارة واجهة برمجة التطبيقات لمنتج أو واجهة برمجة تطبيقات فردية بدلا من جميع واجهات برمجة التطبيقات، مما قد يؤدي إلى التعرض المفرط للبيانات. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب أن يكون إصدار النظام الأساسي لإدارة واجهة برمجة تطبيقات Azure stv2 | سيتم إيقاف إصدار النظام الأساسي لحساب Azure API Management stv1 اعتبارا من 31 أغسطس 2024، ويجب ترحيل هذه المثيلات إلى النظام الأساسي لحساب stv2 للحصول على دعم مستمر. تعرّف على المزيد من خلال: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين خدمات APIM لتعطيل الوصول إلى نقاط نهاية تكوين الخدمة العامة لإدارة واجهة برمجة التطبيقات | لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر أو نقطة نهاية إدارة تكوين Git أو نقطة نهاية تكوين البوابات المستضافة ذاتيا. | DeployIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تعديل APIM لتعطيل مصادقة اسم المستخدم وكلمة المرور | لتأمين حسابات مستخدمي مدخل المطور وبيانات الاعتماد الخاصة بهم بشكل أفضل، قم بتكوين مصادقة المستخدم من خلال Azure AD أو موفري هوية Azure AD B2C وتعطيل مصادقة اسم المستخدم وكلمة المرور الافتراضية. | تعديل | 1.1.0 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ