Api/API-Verwaltungssicherheitsempfehlungen
In diesem Artikel werden alle Sicherheitsempfehlungen für die API/API-Verwaltung aufgeführt, die in Microsoft Defender für Cloud möglicherweise angezeigt werden.
Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.
Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.
Empfehlungen für Azure-API
Microsoft Defender für APIs muss aktiviert sein.
Beschreibung und zugehörige Richtlinie: Aktivieren Sie defender für APIs, um API-Ressourcen vor Angriffen und Sicherheitsfehlern zu ermitteln und zu schützen. Weitere Informationen
Schweregrad: hoch
Azure API Management-APIs sollten in Defender für APIs integriert werden
Beschreibung und zugehörige Richtlinie: Das Onboarding von APIs in Defender für APIs erfordert Compute- und Speicherauslastung für den Azure API-Verwaltungsdienst. Überwachen Sie die Leistung Ihres Azure API Management-Diensts beim Onboarding von APIs, und skalieren Sie Ihre Azure API Management-Ressourcen nach Bedarf auf.
Schweregrad: hoch
Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden.
Beschreibung und verwandte Richtlinie: Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API-Verwaltungsdienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung.
Schweregrad: Niedrig
API-Endpunkte in Azure API Management sollten authentifiziert werden.
Beschreibung und zugehörige Richtlinie: API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Bei APIs, die in Azure API Management veröffentlicht wurden, bewertet diese Empfehlung die Authentifizierung durch Überprüfen des Vorhandenseins von Azure API Management-Abonnementschlüsseln für APIs oder Produkte, für die ein Abonnement erforderlich ist, sowie die Ausführung von Richtlinien für die Überprüfung von JWT-, Clientzertifikaten und Microsoft Entra-Token. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten.
Schweregrad: hoch
API Management-Empfehlungen
API Management-Abonnements sollten nicht für alle APIs gelten
Beschreibung und verwandte Richtlinie: API-Verwaltungsabonnements sollten auf ein Produkt oder eine einzelne API anstelle aller APIs festgelegt werden, was zu übermäßiger Datenexposition führen kann.
Schweregrad: Mittel
API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen
Beschreibung und zugehörige Richtlinie: Die API-Verwaltung sollte das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensprüfung, um die API-Sicherheit zu verbessern.
Schweregrad: Mittel
Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein
Beschreibung und zugehörige Richtlinie: Die direkte Verwaltungs-REST-API in Azure API Management umgeht die rollenbasierte Zugriffssteuerung, Autorisierung und Drosselungsmechanismen von Azure Resource Manager, wodurch die Sicherheitsanfälligkeit Ihres Diensts erhöht wird.
Schweregrad: Niedrig
API Management-APIs sollten nur verschlüsselte Protokolle verwenden
Beschreibung und verwandte Richtlinie: APIs sollten nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Vermeiden Sie die Verwendung ungesicherter Protokolle wie HTTP oder WS, um die Sicherheit von Daten während der Übertragung zu gewährleisten.
Schweregrad: hoch
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden
Beschreibung und verwandte Richtlinie: Benannte Werte sind eine Sammlung von Namen- und Wertpaaren in jedem API-Verwaltungsdienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Verweisen Sie auf geheime benannte Werte aus Azure Key Vault, um die Sicherheit von API Management und Geheimnissen zu verbessern. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation.
Schweregrad: Mittel
API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren.
Beschreibung und verwandte Richtlinie: Um die Sicherheit von API-Verwaltungsdiensten zu verbessern, beschränken Sie die Konnektivität mit Dienstenkonfigurationsendpunkten, z. B. die Direct Access Management-API, den Git-Konfigurations-Verwaltungsendpunkt oder den selbst gehosteten Gateways-Konfigurationsendpunkt.
Schweregrad: Mittel
Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden
Beschreibung und verwandte Richtlinie: Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die mindeste API-Version auf 2019-12-01 oder höher festgelegt werden.
Schweregrad: Mittel
API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden
Beschreibung und zugehörige Richtlinie: Aufrufe von API Management zu Back-Ends sollten eine Form der Authentifizierung verwenden, ob über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends.
Schweregrad: Mittel