التوصية بتكوينات الأمان لإدارة واجهة برمجة تطبيقات Azure
يطبق خط أساس أمان Azure لإدارة واجهات برمجة التطبيقات إرشادات من معيار Microsoft Cloud Security Benchmark على إدارة واجهات برمجة التطبيقات. يوفر معيار أمان السحابة من Microsoft توصيات حول كيفية تأمين حلول السحابة الخاصة بك على Azure. تنظم عناصر التحكم في معايير أمان السحابة من Microsoft المحتوى، مع الإرشادات ذات الصلة لإدارة واجهة برمجة التطبيقات.
ملاحظه
اختبار Microsoft Cloud Security Benchmark v2 متاح الآن في المعاينة (اعتبارا من نوفمبر 2025) مع توجيهات موسعة قائمة على المخاطر والتهديدات، ومزيد من قياسات سياسات Azure، وضوابط جديدة لتأمين أعباء عمل الذكاء الاصطناعي.
يمكنك مراقبة أساس الأمان هذا وتوصياته باستخدام Microsoft Defender for Cloud. يتم سرد تعريفات نهج Azure في قسم التوافق التنظيمي في صفحة مدخل Microsoft Defender for Cloud.
عندما تحتوي الميزة على تعريفات نهج Azure ذات الصلة، يتم سردها في هذا الأساس لمساعدتك في قياس التوافق مع عناصر تحكم وتوصيات معيار الأمان السحابي من Microsoft. قد تتطلب بعض التوصيات خطة Microsoft Defender مدفوعة لتمكين سيناريوهات أمان معينة.
أمان الشبكة
NS-1: إنشاء حدود تجزئة الشبكة
الميزة: تكامل الشبكة الظاهرية
الوصف: تدعم الخدمة النشر في الشبكة الظاهرية الخاصة للعميل (VNet).
إرشادات التكوين: نشر إدارة واجهة برمجة تطبيقات Azure داخل شبكة Azure الظاهرية (VNET)، حتى تتمكن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة. يمكن تكوين مدخل المطور وبوابة إدارة واجهة برمجة التطبيقات لتكون قابلة للوصول إما من الإنترنت (خارجي) أو فقط داخل Vnet (داخلي).
- خارجي: يمكن الوصول إلى بوابة APIM ومدخل المطور من الإنترنت العام عبر موازن تحميل خارجي. يمكن للبوابة الوصول إلى الموارد داخل الشبكة الظاهرية.
- تكوين الشبكة الظاهرية الخارجية
- داخلي: يمكن الوصول إلى بوابة APIM ومدخل المطور فقط من داخل الشبكة الظاهرية عبر موازن تحميل داخلي. يمكن للبوابة الوصول إلى الموارد داخل الشبكة الظاهرية.
- تكوين الشبكة الظاهرية الداخلية
الميزة: دعم مجموعة أمان الشبكة
الوصف: تحترم حركة مرور شبكة الخدمة تعيين قاعدة مجموعات أمان الشبكة على شبكاتها الفرعية.
إرشادات التكوين: نشر مجموعات أمان الشبكة (NSG) إلى الشبكات الفرعية لإدارة واجهة برمجة التطبيقات لتقييد حركة المرور أو مراقبتها حسب المنفذ أو البروتوكول أو عنوان IP المصدر أو عنوان IP الوجهة. إنشاء قواعد NSG لتقييد المنافذ المفتوحة للخدمة (مثل منع الوصول إلى منافذ الإدارة من الشبكات غير الموثوق بها). بشكل افتراضي، ترفض مجموعات أمان الشبكة جميع نسبة استخدام الشبكة الواردة ولكنها تسمح بنسبة استخدام الشبكة من الشبكة الظاهرية وموازنات تحميل Azure.
أنذر
عند تكوين NSG على الشبكة الفرعية لإدارة واجهة برمجة التطبيقات، هناك مجموعة من المنافذ المطلوبة لتكون مفتوحة. إذا كان أي من هذه المنافذ غير متوفر، فقد لا تعمل APIM بشكل صحيح وقد يتعذر الوصول إليها.
NS-2: خدمات سحابية آمنة مع عناصر تحكم في الشبكة
الميزة: Azure Private Link
الوصف: إمكانية تصفية IP الأصلية للخدمة لتصفية حركة مرور الشبكة (لا يجب الخلط بينها وبين NSG أو Azure Firewall).
إرشادات التكوين: في الحالات التي يتعذر فيها نشر مثيلات APIM في شبكة ظاهرية، يجب عليك بدلا من ذلك نشر نقطة نهاية خاصة لإنشاء نقطة وصول خاصة لتلك الموارد.
ملاحظه
لتمكين نقاط النهاية الخاصة، لا يمكن تكوين مثيل APIM بالفعل مع شبكة ظاهرية خارجية أو داخلية. يدعم اتصال نقطة النهاية الخاصة نسبة استخدام الشبكة الواردة فقط إلى مثيل APIM.
الميزة: تعطيل الوصول إلى الشبكة العامة
الوصف: تدعم الخدمة تعطيل الوصول إلى الشبكة العامة إما من خلال استخدام قاعدة تصفية IP ACL على مستوى الخدمة (وليس NSG أو Azure Firewall) أو استخدام مفتاح تبديل "تعطيل الوصول إلى الشبكة العامة".
إرشادات التكوين: تعطيل الوصول إلى الشبكة العامة إما باستخدام قاعدة تصفية IP ACL على NSGs المعينة للشبكات الفرعية للخدمة أو مفتاح تبديل للوصول إلى الشبكة العامة.
ملاحظه
تدعم إدارة واجهة برمجة التطبيقات عمليات التوزيع في شبكة ظاهرية، وتأمين عمليات التوزيع غير المستندة إلى الشبكة باستخدام نقطة نهاية خاصة وتعطيل الوصول إلى الشبكة العامة.
ميزة: مراقبة Microsoft Defender for Cloud
تعريفات نهج Azure المضمنة - Microsoft.ApiManagement:
| الاسم (Azure portal) | الوصف | التأثير (التأثيرات) | النسخة (GitHub) |
|---|---|---|---|
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر شبكة Azure الظاهرية أمانا وعزلا محسنا ويسمح لك بوضع خدمة APIM في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم في الوصول إليها. يمكن بعد ذلك توصيل هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو محليا. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات للوصول إما من الإنترنت أو داخل الشبكة الظاهرية فقط. | تدقيق، رفض، معطل | 1.0.2 |
| يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة | لتأمين خدمات إدارة واجهة برمجة التطبيقات، قم بتقييد الوصول إلى نقاط نهاية التكوين مثل واجهة برمجة تطبيقات الإدارة وتكوين Git وإعداد البوابة المستضافة ذاتيا. | AuditIfNotExists، معطل | 1.0.1 |
NS-6: نشر جدار حماية تطبيق الويب
إرشادات أخرى ل NS-6: لحماية واجهات برمجة تطبيقات الويب/HTTP الهامة، قم بتكوين إدارة واجهة برمجة التطبيقات داخل شبكة ظاهرية (VNET) في الوضع الداخلي وتكوين بوابة تطبيق Azure. بوابة التطبيق هي خدمة PaaS. وهو يعمل كوكيل عكسي ويوفر موازنة تحميل L7 والتوجيه وجدار حماية تطبيق الويب (WAF) وخدمات أخرى. التعرف على المزيد.
يتيح الجمع بين إدارة واجهة برمجة التطبيقات المتوفرة في شبكة ظاهرية داخلية مع الواجهة الأمامية لبوابة التطبيق السيناريوهات التالية:
- استخدم مورد APIM واحد لعرض جميع واجهات برمجة التطبيقات لكل من المستهلكين الداخليين والمستهلكين الخارجيين.
- استخدم مورد APIM واحد لعرض مجموعة فرعية من واجهات برمجة التطبيقات للمستهلكين الخارجيين.
- توفير طريقة لتبديل الوصول إلى APIM من الإنترنت العام وإيقاف تشغيله.
إدارة الهوية
IM-1: استخدام الهوية المركزية ونظام المصادقة
الميزة: مصادقة معرف Microsoft Entra مطلوبة للوصول إلى مستوى البيانات
الوصف: تدعم الخدمة استخدام مصادقة معرف Microsoft Entra للوصول إلى مستوى البيانات.
إرشادات التكوين: استخدم معرف Microsoft Entra كأسلوب مصادقة افتراضي لإدارة واجهة برمجة التطبيقات حيثما أمكن ذلك.
- قم بتكوين مدخل مطور إدارة واجهة برمجة تطبيقات Azure لمصادقة حسابات المطورين باستخدام معرف Microsoft Entra.
- قم بتكوين مثيل Azure API Management لحماية واجهات برمجة التطبيقات الخاصة بك باستخدام بروتوكول OAuth 2.0 مع معرف Microsoft Entra.
الميزة: أساليب المصادقة المحلية للوصول إلى مستوى البيانات
الوصف: أساليب المصادقات المحلية المدعومة للوصول إلى مستوى البيانات، مثل اسم المستخدم المحلي وكلمة المرور.
ملاحظات الميزة: تجنب استخدام أساليب المصادقة المحلية أو الحسابات، يجب تعطيلها كلما أمكن ذلك. بدلا من ذلك، استخدم معرف Microsoft Entra للمصادقة حيثما أمكن ذلك.
إرشادات التكوين: تقييد استخدام أساليب المصادقة المحلية للوصول إلى مستوى البيانات، والحفاظ على مخزون حسابات مستخدمي APIM وتسوية الوصول حسب الحاجة. في APIM، المطورون هم مستهلكو واجهات برمجة التطبيقات التي تعرض مع APIM. بشكل افتراضي، تكون حسابات المطور التي تم إنشاؤها حديثا نشطة، ومرتبطة بمجموعة المطورين. يمكن استخدام حسابات المطورين في حالة نشطة للوصول إلى جميع واجهات برمجة التطبيقات التي لديهم اشتراكات لها.
أيضا، تعد اشتراكات Azure API Management إحدى وسائل تأمين الوصول إلى واجهات برمجة التطبيقات وتأتي مع زوج من مفاتيح الاشتراك التي تم إنشاؤها، والتي تدعم التناوب.
بدلا من استخدام أساليب المصادقة الأخرى، استخدم معرف Microsoft Entra كأسلوب مصادقة افتراضي للتحكم في الوصول إلى مستوى البيانات.
IM-3: إدارة هويات التطبيقات بشكل آمن وتلقوي
الميزة: الهويات المدارة
الوصف: تدعم إجراءات مستوى البيانات المصادقة باستخدام الهويات المدارة.
إرشادات التكوين: استخدم هوية الخدمة المدارة التي تم إنشاؤها بواسطة معرف Microsoft Entra للسماح لمثيل إدارة واجهة برمجة التطبيقات بالوصول بسهولة وأمان إلى موارد Microsoft Entra الأخرى المحمية، مثل Azure Key Vault بدلا من استخدام كيانات الخدمة. تتم إدارة بيانات اعتماد الهوية المدارة وتدويرها وحمايتها بالكامل على النظام الأساسي، وتجنب بيانات الاعتماد المشفرة في التعليمات البرمجية المصدر أو ملفات التكوين.
الميزة: كيانات الخدمة
الوصف: يدعم مستوى البيانات المصادقة باستخدام أساسيات الخدمة.
إرشادات التكوين: لا توجد إرشادات Microsoft الحالية لتكوين الميزة هذا. راجع وحدد ما إذا كانت مؤسستك تريد تكوين ميزة الأمان هذه.
IM-5: استخدام تسجيل الدخول الأحادي (SSO) للوصول إلى التطبيق
إرشادات أخرى ل IM-5: يمكن تكوين إدارة واجهات برمجة تطبيقات Azure لاستخدام Microsoft Entra ID كمزود هوية للمصادقة على المستخدمين على بوابة المطورين. بمجرد التكوين، يمكن لمستخدمي مدخل المطور الجدد اختيار اتباع عملية التسجيل الجاهزة عن طريق المصادقة أولا من خلال معرف Microsoft Entra ثم إكمال عملية التسجيل على المدخل بمجرد المصادقة.
بدلا من ذلك، يمكن تخصيص عملية تسجيل الدخول/الاشتراك بشكل أكبر من خلال التفويض. يسمح لك التفويض باستخدام موقعك الحالي على ويب للتعامل مع تسجيل دخول/تسجيل المطور والاشتراك في المنتجات، بدلا من استخدام الوظيفة المضمنة في مدخل المطور. فهو يمكن موقع الويب الخاص بك من امتلاك بيانات المستخدم وإجراء التحقق من صحة هذه الخطوات بطريقة مخصصة.
IM-7: تقييد الوصول إلى الموارد استنادا إلى الشروط
ميزة: الوصول المشروط لمستوى البيانات
الوصف: يمكن التحكم في الوصول إلى مستوى البيانات باستخدام نهج الوصول المشروط ل Microsoft Entra.
إرشادات التكوين: هذه الميزة غير مدعومة لتأمين هذه الخدمة.
IM-8: تقييد الكشف عن بيانات الاعتماد والأسرار
الميزة: بيانات اعتماد الخدمة والبيانات السرية تدعم التكامل والتخزين في Azure Key Vault
الوصف: تدعم وحدة البيانات الاستخدام الأصلي ل Azure Key Vault لبيانات الاعتماد ومخزن البيانات السرية.
إرشادات التكوين: إعداد تكامل APIM مع Azure Key Vault. تأكد من تخزين أسرار إدارة واجهة برمجة التطبيقات (القيم المسماة) في Azure Key Vault حتى يمكن الوصول إليها وتحديثها بأمان.
الوصول المتميز
PA-1: فصل المستخدمين المتميزين/الإداريين بشكل كبير والحد من ذلك
ميزة: حسابات المسؤولين المحليين
الوصف: الخدمة لديها مفهوم حساب إداري محلي.
ملاحظات الميزة: تجنب استخدام أساليب المصادقة المحلية أو الحسابات، يجب تعطيلها كلما أمكن ذلك. بدلا من ذلك، استخدم معرف Microsoft Entra للمصادقة حيثما أمكن ذلك.
إرشادات التكوين: إذا لم يكن مطلوبا للعمليات الإدارية الروتينية، ف قم بتعطيل أو تقييد أي حسابات مسؤول محلي للاستخدام في حالات الطوارئ فقط.
ملاحظه
تسمح API Management بإنشاء حساب مستخدم محلي. بدلا من إنشاء هذه الحسابات المحلية، قم بتمكين مصادقة معرف Microsoft Entra فقط، وقم بتعيين أذونات لحسابات Microsoft Entra هذه.
PA-7: اتباع مبدأ الإدارة الأقل امتياز
الميزة: Azure RBAC لمستوى البيانات
الوصف: يمكن استخدام التحكم في الوصول إلى Azure Role-Based (RBAC) لإدارة الوصول إلى إجراءات مستوى بيانات الخدمة.
إرشادات التكوين: استخدم التحكم في الوصول المستند إلى الدور في Azure (RBAC) للتحكم في الوصول إلى Azure API Management. تعتمد إدارة واجهة برمجة تطبيقات Azure على التحكم في الوصول المستند إلى دور Azure لتمكين إدارة الوصول الدقيقة لخدمات وكيانات APIM (على سبيل المثال، واجهات برمجة التطبيقات والنهج).
PA-8: تحديد عملية الوصول لدعم موفر السحابة
الميزة: مربع تأمين العميل
الوصف: يمكن استخدام مربع تأمين العميل للوصول إلى دعم Microsoft.
إرشادات التكوين: في سيناريوهات الدعم التي تحتاج فيها Microsoft إلى الوصول إلى بياناتك، استخدم مربع تأمين العميل لمراجعة كل طلب من طلبات الوصول إلى البيانات من Microsoft أو الموافقة عليها أو رفضها.
حماية البيانات
DP-1: اكتشاف البيانات الحساسة وتصنيفها ووصفها
الميزة: اكتشاف البيانات الحساسة وتصنيفها
الوصف: يمكن استخدام أدوات (مثل Azure Purview أو Azure Information Protection) لاكتشاف البيانات وتصنيفها في الخدمة.
إرشادات التكوين: هذه الميزة غير مدعومة لتأمين هذه الخدمة.
DP-2: مراقبة الحالات الشاذة والتهديدات التي تستهدف البيانات الحساسة
الميزة: منع تسرب/فقدان البيانات
الوصف: تدعم الخدمة حل DLP لمراقبة حركة البيانات الحساسة (في محتوى العميل).
إرشادات التكوين: هذه الميزة غير مدعومة لتأمين هذه الخدمة.
DP-3: تشفير البيانات الحساسة أثناء النقل
الميزة: البيانات في تشفير النقل
الوصف: تدعم الخدمة تشفير البيانات أثناء النقل لمستوى البيانات.
إرشادات التكوين: لا تتطلب إعدادات أخرى لأن ذلك مفعل في النشر الافتراضي.
إرشادات أخرى ل DP-3: يتم إجراء مكالمات مستوى الإدارة من خلال Azure Resource Manager عبر TLS. مطلوب رمز ويب JSON صالح (JWT). يمكن تأمين استدعاءات مستوى البيانات باستخدام TLS وإحدى آليات المصادقة المدعومة (على سبيل المثال، شهادة العميل أو JWT).
DP-6: استخدام عملية إدارة مفاتيح آمنة
الميزة: إدارة المفاتيح في Azure Key Vault
الوصف: تدعم الخدمة تكامل Azure Key Vault لأي مفاتيح أو أسرار أو شهادات للعملاء.
إرشادات التكوين: إعداد تكامل APIM مع Azure Key Vault. تأكد من أن المفاتيح المستخدمة في إدارة واجهة برمجة التطبيقات مخزنة في خزنة مفاتيح Azure حتى يمكن الوصول إليها وتحديثها بأمان.
DP-7: استخدام عملية إدارة شهادات آمنة
الميزة: إدارة الشهادات في Azure Key Vault
الوصف: تدعم الخدمة تكامل Azure Key Vault لأي شهادات عميل.
إرشادات التكوين: إعداد تكامل APIM مع Azure Key Vault. تأكد من أن الأسرار الخاصة بإدارة واجهات برمجة التطبيقات (القيم المسماة) مخزنة في خزنة مفاتيح Azure بحيث يمكن الوصول إليها وتحديثها بأمان.
استخدم Azure Key Vault لإنشاء والتحكم في دورة حياة الشهادة. تشمل دورة الحياة إنشاء الشهادة، الاستيراد، التدوير، الإلغاء، التخزين، والتنقية. تأكد من أن إنشاء الشهادة يتبع معايير محددة دون استخدام أي خصائص غير آمنة، مثل: حجم مفتاح غير كاف، فترة صلاحية طويلة جدا، تشفير غير آمن. إعداد التدوير التلقائي للشهادة في Azure Key Vault وخدمة Azure (إذا كانت مدعومة) استنادا إلى جدول زمني محدد أو عند انتهاء صلاحية الشهادة. إذا لم يكن التدوير التلقائي مدعوما في التطبيق، فتأكد من استمرار تدويرها باستخدام الأساليب اليدوية في Azure Key Vault والتطبيق.
إدارة الأصول
AM-2: استخدام الخدمات المعتمدة فقط
الميزة: دعم نهج Azure
الوصف: يمكن مراقبة تكوينات الخدمة وفرضها عبر نهج Azure.
إرشادات التكوين: استخدم نهج Azure المضمن لمراقبة التكوين الآمن وفرضه عبر موارد APIM. استخدم الأسماء المستعارة لنهج Azure في مساحة الاسم "Microsoft.ApiManagement" لإنشاء تعريفات نهج Azure المخصصة عند الحاجة.
التسجيل والكشف عن التهديدات
LT-1: تمكين قدرات الكشف عن التهديدات
الميزات: Microsoft Defender for Service / Product Offering
الوصف: تحتوي الخدمة على حل Microsoft Defender خاص بالعرض لمراقبة مشكلات الأمان والتنبيه بشأنها.
إرشادات التكوين: هذه الميزة غير مدعومة لتأمين هذه الخدمة.
LT-4: تمكين التسجيل للتحقيق الأمني
الميزة: سجلات موارد Azure
الوصف: تنتج الخدمة سجلات موارد يمكنها توفير مقاييس وتسجيل محسنة خاصة بالخدمة. يمكن للعميل تكوين سجلات الموارد هذه وإرسالها إلى مصدر البيانات الخاص به مثل حساب تخزين أو مساحة عمل تحليلات السجل.
إرشادات التكوين: تمكين سجلات الموارد لإدارة واجهة برمجة التطبيقات. توفر سجلات الموارد معلومات غنية عن العمليات والأخطاء المهمة لأغراض التدقيق وحل المشكلات. تتضمن فئات سجلات الموارد لإدارة واجهة برمجة التطبيقات ما يلي:
- سجلات البوابة
- سجلات اتصال WebSocket
النسخ الاحتياطي والاسترداد
BR-1: ضمان النسخ الاحتياطية التلقائية المنتظمة
الميزة: Azure Backup
الوصف: الخدمة مدعومة بنسخة احتياطية من قبل خدمة النسخ الاحتياطي في أزور.
إرشادات التكوين: هذه الميزة غير مدعومة لتأمين هذه الخدمة.
الميزة: إمكانية النسخ الاحتياطي الأصلي للخدمة
الوصف: تدعم الخدمة إمكانية النسخ الاحتياطي الأصلية الخاصة بها (إذا لم تكن تستخدم Azure Backup).
إرشادات إضافية: استخدم إمكانيات النسخ الاحتياطي والاستعادة في خدمة إدارة واجهة برمجة تطبيقات Azure. عند استخدام قدرات النسخ الاحتياطي، تقوم إدارة واجهة برمجة تطبيقات Azure بكتابة النسخ الاحتياطية إلى حسابات Azure Storage المملوكة للعملاء. يتم توفير عمليات النسخ الاحتياطي والاستعادة بواسطة Azure API Management لإجراء النسخ الاحتياطي الكامل للنظام واستعادته.