Standardní hodnoty zabezpečení Azure pro službu API Management
Tyto standardní hodnoty zabezpečení API Management aplikují pokyny ze srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejících pokynů platných pro API Management.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na API Management, byly vyloučeny. Pokud chcete zjistit, jak API Management zcela namapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení API Management.
Profil zabezpečení
Profil zabezpečení shrnuje chování API Management s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | Web |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ne |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte Azure API Management v rámci Virtual Network Azure (VNET), aby mohl přistupovat k back-endovým službám v rámci sítě. Portál pro vývojáře a bránu API Management je možné nakonfigurovat tak, aby byly přístupné buď z internetu (externí), nebo jenom v rámci virtuální sítě (interní).
- Externí: brána API Management a portál pro vývojáře jsou přístupné z veřejného internetu prostřednictvím externího nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům v rámci virtuální sítě.
- Interní: brána API Management a portál pro vývojáře jsou přístupné jenom z virtuální sítě prostřednictvím interního nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům v rámci virtuální sítě.
Referenční informace: Použití virtuální sítě s Azure API Management
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte skupiny zabezpečení sítě (NSG) do podsítí API Management a omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Upozornění: Při konfiguraci skupiny zabezpečení sítě v API Management podsíti musí být otevřená sada portů. Pokud je některý z těchto portů nedostupný, API Management nemusí správně fungovat a může být nedostupný.
Poznámka: Konfigurace pravidel NSG pro API Management
Referenční informace: Referenční informace o konfiguraci virtuální sítě: API Management
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případech, kdy nemůžete nasadit instance API Management do virtuální sítě, byste místo toho měli nasadit privátní koncový bod, abyste pro tyto prostředky vytvořili privátní přístupový bod.
Poznámka: Pokud chcete povolit privátní koncové body, API Management instanci ještě není možné nakonfigurovat s externí nebo interní virtuální sítí. Připojení privátního koncového bodu podporuje pouze příchozí provoz do instance API Management.
Referenční informace: Privátní připojení k API Management pomocí privátního koncového bodu
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidla filtrování seznamu ACL ip adres u skupin zabezpečení sítě přiřazených k podsítím služby nebo přepínačem přepínání pro veřejný síťový přístup.
Poznámka: API Management podporuje nasazení do virtuální sítě a také uzamčení nasazení, která nejsou založená na síti, pomocí privátního koncového bodu a zakázání přístupu z veřejné sítě.
Referenční informace: Zakázání přístupu z veřejné sítě
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| API Management služby by měly používat virtuální síť. | Nasazení Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do nesměrovatelné sítě, ke které řídíte přístup. Tyto sítě se pak dají připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a bránu rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
NS-6: Nasazení firewallu webových aplikací
Další pokyny pro NS-6
Pokud chcete chránit důležitá webová rozhraní API nebo rozhraní HTTP, nakonfigurujte API Management v rámci Virtual Network (VNET) v interním režimu a nakonfigurujte Azure Application Gateway. Application Gateway je služba PaaS. Funguje jako reverzní proxy server a poskytuje vyrovnávání zatížení L7, směrování, firewall webových aplikací (WAF) a další služby. Další informace.
Kombinace API Management zřízených v interní virtuální síti s front-endem Application Gateway umožňuje následující scénáře:
- K vystavení všech rozhraní API interním i externím příjemcům použijte jeden prostředek API Management.
- K vystavení podmnožiny rozhraní API externím příjemcům použijte jeden prostředek API Management.
- Umožňuje zapnout a vypnout přístup k API Management z veřejného internetu.
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, použijte Azure Active Directory (Azure AD) jako výchozí metodu ověřování pro API Management.
- Nakonfigurujte portál pro vývojáře Azure API Management pro ověřování vývojářských účtů pomocí Azure AD.
- Nakonfigurujte instanci Azure API Management tak, aby chránila vaše rozhraní API pomocí protokolu OAuth 2.0 s Azure AD.
Referenční informace: Ochrana rozhraní API v Azure API Management pomocí autorizace OAuth 2.0 s Azure Active Directory
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, tyto metody by měly být zakázány, kdykoli je to možné. Místo toho použijte k ověřování Azure AD, kde je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat, udržujte inventář API Management uživatelských účtů a podle potřeby srovnejte přístup. V API Management jsou vývojáři příjemci rozhraní API, která jsou vystavená pomocí API Management. Ve výchozím nastavení jsou nově vytvořené vývojářské účty aktivní a přidružené ke skupině Vývojáři. Vývojářské účty, které jsou v aktivním stavu, je možné použít pro přístup ke všem rozhraním API, pro která mají předplatná.
Předplatná Azure API Management jsou také jedním ze způsobů zabezpečení přístupu k rozhraním API a dodávají se s dvojicí vygenerovaných klíčů předplatného, které podporují obměnu.
Místo použití jiných metod ověřování použijte jako výchozí metodu ověřování k řízení přístupu k rovině dat Azure Active Directory (Azure AD).
Referenční informace: Ověřování pomocí basicu
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí identity spravované služby vygenerované službou Azure Active Directory (Azure AD) umožníte vaší instanci API Management snadný a bezpečný přístup k dalším prostředkům chráněným Azure AD, jako je Azure Key Vault místo použití instančních objektů. Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Ověřování pomocí spravované identity
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
IM-5: Použití jednotného přihlašování (SSO) pro přístup k aplikacím
Další pokyny pro IM-5
Azure API Management je možné nakonfigurovat tak, aby využívala Azure Active Directory (Azure AD) jako zprostředkovatele identity pro ověřování uživatelů na portálu pro vývojáře, aby bylo možné využívat možnosti jednotného přihlašování, které nabízí Azure AD. Po nakonfigurování se můžou noví uživatelé portálu pro vývojáře rozhodnout, že po ověření nejprve ověří prostřednictvím Azure AD a po ověření dokončí proces registrace na portálu.
Případně je možné proces přihlášení/registrace dále přizpůsobit prostřednictvím delegování. Delegování umožňuje používat stávající web ke zpracování přihlášení nebo registrace vývojářů a předplatného produktů místo použití integrované funkce na portálu pro vývojáře. Umožňuje vašemu webu vlastnit uživatelská data a provádět ověření těchto kroků vlastním způsobem.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nastavení integrace API Management s Azure Key Vault. Ujistěte se, že tajné kódy pro API Management (pojmenované hodnoty) jsou uložené ve Key Vault Azure, aby k nim bylo možné bezpečně přistupovat a aktualizovat.
Referenční informace: Použití pojmenovaných hodnot v zásadách Azure API Management s integrací Key Vault
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| API Management minimální verze rozhraní API by měla být nastavená na 1. 12. 2019 nebo novější. | Aby se zabránilo sdílení tajných kódů služby s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na 1. 1. 2019 nebo vyšší. | Audit, Odepřít, Zakázáno | 1.0.1 |
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, tyto metody by měly být zakázány, kdykoli je to možné. Místo toho použijte k ověřování Azure AD, kde je to možné.
Pokyny ke konfiguraci: Pokud to není nutné pro rutinní operace správy, zakažte nebo omezte všechny účty místních správců jenom pro nouzové použití.
Poznámka: API Management umožňuje vytvoření místního uživatelského účtu. Místo vytváření těchto místních účtů povolte pouze ověřování Azure Active Directory (Azure AD) a přiřaďte oprávnění k těmto účtům Azure AD.
Referenční informace: Správa uživatelských účtů v Azure API Management
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Řízení přístupu k Azure API Management pomocí řízení přístupu na základě role v Azure (Azure RBAC). Azure API Management spoléhá na řízení přístupu na základě role v Azure, které umožňuje jemně odstupňovanou správu přístupu pro API Management služby a entity (například rozhraní API a zásady).
Referenční informace: Jak používat Role-Based Access Control v Azure API Management
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| API Management předplatná by neměla být vymezená na všechna rozhraní API. | API Management předplatná by měla být vymezena na produkt nebo jednotlivá rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení datům. | Audit, Zakázáno, Odepřít | 1.1.0 |
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí každé žádosti Microsoftu o přístup k datům.
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Správa protokolů a šifer v Azure API Management
Další pokyny pro DP-3
Volání roviny správy se provádí prostřednictvím Azure Resource Manager přes protokol TLS. Vyžaduje se platný webový token JSON (JWT). Volání roviny dat je možné zabezpečit pomocí protokolu TLS a jednoho z podporovaných ověřovacích mechanismů (například klientský certifikát nebo JWT).
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| rozhraní API API Management by měla používat pouze šifrované protokoly. | Aby se zajistilo zabezpečení přenášených dat, měla by být rozhraní API dostupná pouze prostřednictvím šifrovaných protokolů, jako jsou HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, jako jsou HTTP nebo WS. | Auditování, zakázáno, odepření | 2.0.2 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Zákaznická data v API Management instanci, včetně nastavení rozhraní API, produktů, předplatných, uživatelů, skupin a obsahu portálu pro vývojáře, jsou uložená v databázi SQL Azure a ve službě Azure Storage, která automaticky šifruje neaktivní uložený obsah.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nastavení integrace API Management s Azure Key Vault. Ujistěte se, že klíče používané API Management jsou uložené v Key Vault Azure, aby k nim bylo možné bezpečně přistupovat a aktualizovat je.
Referenční informace: Požadavky na integraci trezoru klíčů
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| API Management tajných kódů s názvem hodnoty by se měly ukládat ve službě Azure Key Vault | Pojmenované hodnoty jsou kolekcí dvojic název a hodnota v každé službě API Management. Hodnoty tajných kódů je možné uložit buď jako šifrovaný text v API Management (vlastní tajné kódy), nebo odkazováním na tajné kódy v Azure Key Vault. Pokud chcete zlepšit zabezpečení API Management a tajných klíčů, odkazujte na tajné klíče s názvem hodnoty z Azure Key Vault. Azure Key Vault podporuje podrobnou správu přístupu a zásady obměně tajných kódů. | Auditování, zakázáno, odepření | 1.0.2 |
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nastavení integrace API Management s Azure Key Vault. Ujistěte se, že tajné kódy pro API Management (pojmenované hodnoty) jsou uložené v Key Vault Azure, aby k nim bylo možné bezpečně přistupovat a aktualizovat je.
Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus certifikátu, včetně vytváření, importu, obměně, odvolání, ukládání a mazání certifikátu. Ujistěte se, že generování certifikátů odpovídá definovaným standardům bez použití nezabezpečených vlastností, jako jsou: nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie. Nastavte automatickou obměnu certifikátu v Azure Key Vault a ve službě Azure (pokud se podporuje) na základě definovaného plánu nebo v případě vypršení platnosti certifikátu. Pokud aplikace nepodporuje automatickou rotaci, ujistěte se, že se ve službě Azure Key Vault a v aplikaci stále obměňují pomocí ručních metod.
Referenční informace: Zabezpečení back-endových služeb pomocí ověřování klientských certifikátů v Azure API Management
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí integrovaných Azure Policy můžete monitorovat a vynucovat zabezpečenou konfiguraci napříč API Management prostředky. V případě potřeby můžete pomocí aliasů Azure Policy v oboru názvů Microsoft.ApiManagement vytvářet vlastní definice Azure Policy.
Referenční informace: Azure Policy předdefinovaných definic zásad pro Azure API Management
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Defender for API, funkce Microsoft Defender pro cloud, nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API spravovaná v Azure API Management.
Onboarding rozhraní API do rozhraní API Služby Defender for je dvoustupňový proces: povolení plánu rozhraní API defenderu pro předplatné a onboarding nechráněných rozhraní API v instancích API Management.
Výběrem možnosti Microsoft Defender pro cloud v nabídce pro instanci API Management zobrazíte souhrn všech doporučení k zabezpečení a upozornění pro nasazená rozhraní API.
Referenční informace: Povolení pokročilých funkcí zabezpečení rozhraní API pomocí Microsoft Defender pro cloud
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro API Management. Protokoly prostředků poskytují bohaté informace o operacích a chybách, které jsou důležité pro účely auditování a řešení potíží. Mezi kategorie protokolů prostředků pro API Management patří:
- Protokoly brány
- Protokoly WebSocketConnection
Referenční informace: Protokoly prostředků APIM
Backup a obnovení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Schopnost zálohování nativní služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Další pokyny: Využijte možnosti zálohování a obnovení ve službě Azure API Management. Při využití možností zálohování azure API Management zapisuje zálohy do účtů Azure Storage vlastněných zákazníkem. Operace zálohování a obnovení zajišťuje Azure API Management k provedení úplného zálohování a obnovení systému.
Referenční informace: Implementace zotavení po havárii s využitím zálohování a obnovení služeb v Azure API Management
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure