Doporučení k zabezpečení služby API/API Management
Tento článek obsahuje seznam všech doporučení zabezpečení služby API/API Management, která se můžou zobrazit v programu Microsoft Defender for Cloud.
Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.
Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.
Doporučení k rozhraní Azure API
Měla by být povolená rozhraní MICROSOFT Defender for API.
Popis a související zásady: Povolení plánu Defenderu for API ke zjišťování a ochraně prostředků rozhraní API před útoky a chybnou konfigurací zabezpečení Další informace
Závažnost: Vysoká
Rozhraní API služby Azure API Management by se měla připojit k defenderu pro rozhraní API.
Popis a související zásady: Onboarding rozhraní API pro Defender pro rozhraní API vyžaduje využití výpočetních prostředků a paměti ve službě Azure API Management. Monitorujte výkon služby Azure API Management při onboardingu rozhraní API a podle potřeby navyšujte kapacitu prostředků služby Azure API Management.
Závažnost: Vysoká
Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management.
Popis a související zásady: Jako osvědčený postup zabezpečení se koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, považují za nepoužívané a měly by se odebrat ze služby Azure API Management. Zachování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale omylem byla aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení.
Závažnost: Nízká
Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat.
Popis a související zásady: Koncové body rozhraní API publikované ve službě Azure API Management by měly vynutit ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Pro rozhraní API publikovaná ve službě Azure API Management toto doporučení posuzuje ověřování prostřednictvím ověření přítomnosti klíčů předplatného služby Azure API Management pro rozhraní API nebo produkty, u kterých se vyžaduje předplatné, a provádění zásad pro ověřování JWT, klientských certifikátů a tokenů Microsoft Entra. Pokud se během volání rozhraní API nespustí žádný z těchto mechanismů ověřování, rozhraní API toto doporučení obdrží.
Závažnost: Vysoká
Doporučení služby API Management
Předplatná služby API Management by neměla být vymezena na všechna rozhraní API.
Popis a související zásady: Předplatná služby API Management by měla být vymezena na produkt nebo na jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat.
Závažnost: Střední
Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů.
Popis a související zásady: Služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolení kryptografického otisku certifikátu SSL a ověření názvu za účelem zlepšení zabezpečení rozhraní API
Závažnost: Střední
Koncový bod přímé správy služby API Management by neměl být povolený.
Popis a související zásady: Rozhraní REST API pro přímou správu ve službě Azure API Management obchází řízení přístupu, autorizaci a omezování přístupu na základě role v Azure Resource Manageru, což zvyšuje ohrožení zabezpečení vaší služby.
Závažnost: Nízká
Rozhraní API služby API Management by měla používat pouze šifrované protokoly.
Popis a související zásady: Rozhraní API by měla být dostupná jenom prostřednictvím šifrovaných protokolů, jako jsou HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, jako je HTTP nebo WS, abyste zajistili zabezpečení přenášených dat.
Závažnost: Vysoká
Tajné klíče služby API Management s názvem hodnoty by měly být uložené ve službě Azure Key Vault.
Popis a související zásady: Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit jako šifrovaný text ve službě API Management (vlastní tajné kódy) nebo odkazovat na tajné kódy ve službě Azure Key Vault. Odkazování na hodnoty pojmenovaných tajných kódů ze služby Azure Key Vault za účelem zlepšení zabezpečení služby API Management a tajných kódů Azure Key Vault podporuje podrobnou správu přístupu a zásady obměny tajných kódů.
Závažnost: Střední
Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby.
Popis a související zásady: Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služeb, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí.
Závažnost: Střední
Minimální verze rozhraní API služby API Management by měla být nastavená na 12. 12. 2019 nebo vyšší.
Popis a související zásady: Aby se tajné kódy služby nesdílely s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na verzi 2019-12-01 nebo vyšší.
Závažnost: Střední
Je potřeba ověřit volání služby API Management do back-endů rozhraní API.
Popis a související zásady: Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric.
Závažnost: Střední
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro