توصيات أمان إدارة واجهة برمجة التطبيقات/واجهة برمجة التطبيقات
تسرد هذه المقالة جميع توصيات أمان إدارة واجهة برمجة التطبيقات/واجهة برمجة التطبيقات التي قد تراها في Microsoft Defender for Cloud.
تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص.
للتعرف على الإجراءات التي يمكنك اتخاذها استجابة لهذه التوصيات، راجع معالجة التوصيات في Defender for Cloud.
توصيات واجهة برمجة تطبيقات Azure
يجب تمكين Azure Defender لواجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: تمكين خطة Defender لواجهات برمجة التطبيقات لاكتشاف موارد واجهة برمجة التطبيقات وحمايتها من الهجمات والتكوينات الخاطئة للأمان. معرفة المزيد
الخطورة: عالية
يجب إلحاق واجهات برمجة تطبيقات Azure API Management ب Defender لواجهات برمجة التطبيقات
الوصف والنهج ذي الصلة: يتطلب إلحاق واجهات برمجة التطبيقات إلى Defender لواجهات برمجة التطبيقات استخدام الحوسبة والذاكرة على خدمة إدارة واجهة برمجة تطبيقات Azure. مراقبة أداء خدمة Azure API Management أثناء إلحاق واجهات برمجة التطبيقات وتوسيع نطاق موارد Azure API Management حسب الحاجة.
الخطورة: عالية
يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management
الوصف والنهج ذي الصلة: كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة، ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management، ولكن تم تركها نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية.
الخطورة: منخفض
يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management
الوصف والنهج ذي الصلة: يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. بالنسبة لواجهات برمجة التطبيقات المنشورة في Azure API Management، تقيم هذه التوصية المصادقة من خلال التحقق من وجود مفاتيح اشتراك Azure API Management لواجهات برمجة التطبيقات أو المنتجات التي يكون الاشتراك فيها مطلوبا، وتنفيذ نهج التحقق من صحة JWT وشهادات العميل ورموز Microsoft Entra المميزة. إذا لم يتم تنفيذ أي من آليات المصادقة هذه أثناء استدعاء واجهة برمجة التطبيقات، فستتلقى واجهة برمجة التطبيقات هذه التوصية.
الخطورة: عالية
توصيات إدارة واجهة برمجة التطبيقات
يجب عدم تحديد نطاق اشتراكات APIM لجميع واجهات برمجة التطبيقات
الوصف والنهج ذي الصلة: يجب تحديد نطاق اشتراكات APIM لمنتج أو واجهة برمجة تطبيقات فردية بدلا من جميع واجهات برمجة التطبيقات، ما قد يؤدي إلى التعرض المفرط للبيانات.
الخطورة: متوسط
يجب ألا تتجاوز استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات خطة التحقق من صحة بصمة الإبهام أو الاسم
الوصف والنهج ذي الصلة: يجب أن تتحقق إدارة واجهة برمجة التطبيقات من صحة شهادة الخادم الخلفي لجميع استدعاءات واجهة برمجة التطبيقات. تمكين بصمة إبهام شهادة SSL والتحقق من صحة الاسم لتحسين أمان واجهة برمجة التطبيقات.
الخطورة: متوسط
يجب عدم تمكين نقطة نهاية الإدارة المباشرة لإدارة واجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: تتجاوز واجهة برمجة تطبيقات REST للإدارة المباشرة في Azure API Management آليات التحكم في الوصول والتخويل والتقييد المستندة إلى دور Azure Resource Manager، مما يزيد من ثغرة الخدمة.
الخطورة: منخفض
يجب أن تستخدم واجهات برمجة تطبيقات API Management بروتوكولات مشفرة فقط
الوصف والنهج ذي الصلة: يجب أن تكون واجهات برمجة التطبيقات متاحة فقط من خلال بروتوكولات مشفرة، مثل HTTPS أو WSS. تجنب استخدام بروتوكولات غير آمنة، مثل HTTP أو WS لضمان أمان البيانات أثناء النقل.
الخطورة: عالية
يجب تخزين البيانات السرية لإدارة API المسماة في Azure Key Vault
الوصف والنهج ذي الصلة: القيم المسماة هي مجموعة من أزواج الأسماء والقيم في كل خدمة APIM. يمكن تخزين القيم السرية إما كنص مشفر في APIM (أسرار مخصصة) أو عن طريق الرجوع إلى الأسرار في Azure Key Vault. مرجع البيانات السرية المسماة من Azure Key Vault لتحسين أمان APIM والأسرار. يدعم Azure Key Vault إدارة الوصول متعدد المستويات ونهج تدوير البيانات السرية.
الخطورة: متوسط
يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة
الوصف والنهج ذي الصلة: لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر، أو نقطة نهاية إدارة تكوين Git، أو نقطة نهاية تكوين البوابات المستضافة ذاتيا.
الخطورة: متوسط
يجب تعيين إصدار واجهة برمجة التطبيقات للحد الأدنى من APIM إلى 2019-12-01 أو أحدث
الوصف والنهج ذي الصلة: لمنع مشاركة أسرار الخدمة مع مستخدمي القراءة فقط، يجب تعيين الحد الأدنى لإصدار واجهة برمجة التطبيقات إلى 2019-12-01 أو أعلى.
الخطورة: متوسط
يجب مصادقة استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: يجب أن تستخدم الاستدعاءات من APIM إلى الخلفيات شكلا من أشكال المصادقة، سواء عبر الشهادات أو بيانات الاعتماد. لا تنطبق على خلفيات Service Fabric.
الخطورة: متوسط
المحتوى ذو الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ