Povolení pokročilých funkcí zabezpečení rozhraní API pomocí Microsoft Defenderu pro cloud

Článek
10/18/2023

Defender for API, funkce Microsoft Defenderu pro cloud, nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API spravovaná ve službě Azure API Management. Služba umožňuje odborníkům na zabezpečení získat přehled o svých důležitých obchodních rozhraních API, porozumět stavu zabezpečení, určit prioritu oprav ohrožení zabezpečení a detekovat aktivní hrozby za běhu během několika minut.

Mezi možnosti Defenderu pro rozhraní API patří:

Identifikace externích, nepoužívaných nebo neověřených rozhraní API
Klasifikace rozhraní API, která přijímají citlivá data nebo na ně reagují
Použití doporučení konfigurace k posílení stavu zabezpečení rozhraní API a služeb API Management
Detekce neobvyklých a podezřelých vzorů provozu rozhraní API a zneužití OWASP API s nejvyšším 10 ohrožením zabezpečení
Stanovení priority nápravy hrozeb
Integrace se systémy SIEM a správou stavu zabezpečení cloudu Defenderu

Tento článek ukazuje, jak pomocí webu Azure Portal povolit defender pro rozhraní API z vaší instance služby API Management a zobrazit souhrn doporučení zabezpečení a výstrah pro onboardovaná rozhraní API.

Omezení plánu

Defender for API v současné době zjišťuje a analyzuje pouze rozhraní REST API.
Defender pro rozhraní API v současné době nepřipojuje rozhraní API, která jsou vystavená pomocí místní brány služby API Management nebo spravovaná pomocí pracovních prostorů služby API Management.
Některé detekce založené na ML a přehledy zabezpečení (klasifikace dat, kontrola ověřování, nepoužívané a externí rozhraní API) se v sekundárních oblastech v nasazeních s více oblastmi nepodporují. Defender pro rozhraní API spoléhá na místní datové kanály, aby se zajistilo regionální rezidenci dat a vyšší výkon v takových nasazeních.

Požadavky

Alespoň jedna instance služby API Management v předplatném Azure. Defender for API je povolený na úrovni předplatného Azure.
Jedno nebo více podporovaných rozhraní API se musí importovat do instance služby API Management.
Přiřazení role pro povolení plánu Defenderu pro rozhraní API
Přiřazení role přispěvatele nebo vlastníka u příslušných předplatných Azure, skupin prostředků nebo instancí služby API Management, které chcete zabezpečit.

Onboarding do Defenderu pro rozhraní API

Připojení rozhraní API k defenderu pro rozhraní API je dvoustupňový proces: povolení plánu Defenderu pro rozhraní API pro předplatné a onboarding nechráněných rozhraní API v instancích služby API Management.  

Tip

Do Defenderu pro rozhraní API můžete také připojit přímo v rozhraní Defender for Cloud, kde jsou k dispozici další přehledy zabezpečení rozhraní API a prostředí inventáře.

Povolení plánu Defenderu pro rozhraní API pro předplatné

Přihlaste se k portálu a přejděte do instance služby API Management.
V nabídce vlevo vyberte Microsoft Defender for Cloud.
V předplatném vyberte Povolit defender.
Na stránce plánu Defenderu vyberte Pro plán rozhraní API možnost Zapnuto.
Zvolte Uložit.

Onboarding nechráněných rozhraní API do Defenderu pro rozhraní API

Upozornění

Onboarding rozhraní API pro rozhraní API defenderu pro rozhraní API může zvýšit využití výpočetních prostředků, paměti a sítě vaší instance služby API Management, což může v extrémních případech způsobit výpadek instance služby API Management. Pokud instance služby API Management běží s vysokým využitím, nepřipojujte najednou všechna rozhraní API. Při postupném zprovoznění rozhraní API buďte opatrní a monitorujte využití vaší instance (například pomocí metriky kapacity) a podle potřeby navyšujte kapacitu.

Na portálu se vraťte do instance služby API Management.
V nabídce vlevo vyberte Microsoft Defender for Cloud.
V části Doporučení vyberte rozhraní API služby Azure API Management, která by se měla připojit k defenderu pro rozhraní API.
Na další obrazovce si projděte podrobnosti o doporučení:
- Závažnosti
- Interval aktualizace pro zjištění zabezpečení
- Popis a nápravné kroky
- Ovlivněné prostředky, klasifikované jako v pořádku (připojené k defenderu pro rozhraní API), není v pořádku (není připojené) nebo nejde použít spolu s přidruženými metadaty ze služby API Management
Poznámka:

Ovlivněné prostředky zahrnují kolekce rozhraní API (API) ze všech instancí služby API Management v rámci předplatného.
V seznamu prostředků, které nejsou v pořádku, vyberte rozhraní API, která chcete připojit k defenderu pro rozhraní API.
Vyberte Opravit a pak vyberte Opravit prostředky.
Sledujte stav onboardovaných prostředků v části Oznámení.

Poznámka:

Vytvoření prvního přehledu zabezpečení pro rozhraní API v programu Defender for API trvá 30 minut. Potom se přehledy zabezpečení aktualizují každých 30 minut.

Zobrazení pokrytí zabezpečení

Po nasazení rozhraní API ze služby API Management obdrží Defender for API provoz rozhraní API, který se použije k vytváření přehledů zabezpečení a monitorování hrozeb. Defender for API generuje doporučení zabezpečení pro riziková a zranitelná rozhraní API.

Souhrn všech doporučení zabezpečení a upozornění pro onboardovaná rozhraní API můžete zobrazit tak , že v nabídce pro instanci služby API Management vyberete Microsoft Defender for Cloud :

Na portálu přejděte do instance služby API Management a v nabídce vlevo vyberte Microsoft Defender for Cloud .
Projděte si doporučení a přehledy zabezpečení a výstrahy.

Pro přijaté výstrahy zabezpečení navrhuje Defender for API nezbytné kroky k provedení požadované analýzy a ověření potenciálního zneužití nebo anomálií přidružené k rozhraním API. Pokud chcete opravit a vrátit rozhraní API do stavu v pořádku, postupujte podle kroků v upozornění zabezpečení.

Odpojování chráněných rozhraní API z Defenderu pro rozhraní API

Rozhraní API můžete odebrat z ochrany pomocí defenderu pro rozhraní API pomocí defenderu pro cloud na portálu. Další informace najdete v tématu Správa nasazení defenderu pro rozhraní API.

Další kroky

Další informace o defenderu pro cloud
Další informace o zjištěních rozhraní API, doporučeních a upozorněních v Defenderu pro rozhraní API
Informace o upgradu a škálování instance služby API Management