Předdefinované definice zásad služby Azure Policy pro Azure API Management
PLATÍ PRO: Všechny úrovně služby API Management
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure API Management. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy. Pokud hledáte zásady, které můžete použít k úpravě chování rozhraní API ve službě API Management, přečtěte si referenční informace o zásadách služby API Management.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure API Management
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Služba API Management by měla být zónově redundantní | Službu API Management je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Služba API Management je zónově redundantní, pokud má název skladové položky Premium a má v poli zón alespoň dvě položky. Tato zásada identifikuje službu API Management Services, která nemá redundanci potřebnou k tomu, aby vydržela výpadek zóny. | Audit, Odepřít, Zakázáno | 1.0.1-preview |
| Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. | Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, zakázáno | 1.0.1 |
| Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, nepoužívané a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, zakázáno | 1.0.1 |
| Rozhraní API služby API Management by měla používat pouze šifrované protokoly. | Aby se zajistilo zabezpečení přenášených dat, měla by být rozhraní API dostupná pouze prostřednictvím šifrovaných protokolů, jako je HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, například HTTP nebo WS. | Audit, Zakázáno, Odepřít | 2.0.2 |
| Je potřeba ověřit volání služby API Management do back-endů rozhraní API. | Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric. | Audit, Zakázáno, Odepřít | 1.0.1 |
| Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů. | Aby se zlepšilo zabezpečení rozhraní API, služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolte kryptografický otisk certifikátu SSL a ověření názvu. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Koncový bod přímé správy služby API Management by neměl být povolený. | Rozhraní REST API pro přímou správu ve službě Azure API Management obchází mechanismy řízení přístupu, autorizace a omezování na základě role v Azure Resource Manageru, což zvyšuje ohrožení zabezpečení vaší služby. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Minimální verze rozhraní API služby API Management by měla být nastavená na 12. 12. 2019 nebo vyšší. | Aby se zabránilo sdílení tajných kódů služeb s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na 12. 12. 2019 nebo vyšší. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Tajné klíče služby API Management s názvem hodnoty by měly být uložené ve službě Azure Key Vault. | Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit jako šifrovaný text ve službě API Management (vlastní tajné kódy) nebo odkazovat na tajné kódy ve službě Azure Key Vault. Pokud chcete zlepšit zabezpečení služby API Management a tajných kódů, odkazování na hodnoty pojmenovaných tajných kódů ze služby Azure Key Vault. Azure Key Vault podporuje podrobnou správu přístupu a zásady obměny tajných kódů. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Služba API Management by měla používat skladovou položku, která podporuje virtuální sítě. | Díky podporovaným cenovým úrovním služby API Management se nasazení služby do virtuální sítě odemkne pokročilými funkcemi sítě a zabezpečení služby API Management, které poskytují větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://aka.ms/apimvnet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby. | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | AuditIfNotExists, zakázáno | 1.0.1 |
| Služba API Management by měla mít zakázané ověřování pomocí uživatelského jména a hesla. | Pokud chcete lépe zabezpečit portál pro vývojáře, měli byste ve službě API Management zakázat ověřování pomocí uživatelského jména a hesla. Nakonfigurujte ověřování uživatelů prostřednictvím zprostředkovatelů identity Azure AD nebo Azure AD B2C a zakažte výchozí ověřování pomocí uživatelského jména a hesla. | Audit, zakázáno | 1.0.1 |
| Předplatná služby API Management by neměla být vymezena na všechna rozhraní API. | Předplatná služby API Management by měla být vymezena na produkt nebo jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Verze platformy Azure API Management by měla být stv2 | Verze výpočetní platformy Azure API Management stv1 bude vyřazena od 31. srpna 2024 a tyto instance by se měly migrovat na výpočetní platformu stv2 pro pokračování podpory. Další informace najdete na adrese https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace služeb API Management pro zakázání přístupu ke koncovým bodům konfigurace veřejné služby API Management | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | DeployIfNotExists, zakázáno | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro služby API Management (microsoft.apimanagement/service) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro služby API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Úprava služby API Management tak, aby zakázala ověřování pomocí uživatelského jména a hesla | Pokud chcete lépe zabezpečit uživatelské účty portálu pro vývojáře a jejich přihlašovací údaje, nakonfigurujte ověřování uživatelů prostřednictvím zprostředkovatelů identity Azure AD nebo Azure AD B2C a zakažte výchozí ověřování pomocí uživatelského jména a hesla. | Změnit | 1.1.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.