Controles de cumplimiento normativo de Azure Policy para Azure API Management
SE APLICA A: todos los niveles de API Management
Cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas por Microsoft, conocidas como integraciones, para los dominios de cumplimiento y los controles de seguridad relativos a distintos estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure API Management. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Los servicios de API Management deben usar una red virtual | 1.0.2 |
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Los servicios de API Management deben usar una red virtual | 1.0.2 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Seguridad de redes | NS-2 | Servicios en la nube seguros con controles de red | API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio | 1.0.1 |
| Administración de identidades | IM-4 | Autenticación de servidores y servicios | Los puntos de conexión de API en Azure API Management deben autenticarse | 1.0.1 |
| Administración de identidades | IM-4 | Autenticación de servidores y servicios | Las llamadas de API Management a las back-end de API deberían autenticarse | 1.0.1 |
| Administración de identidades | IM-4 | Autenticación de servidores y servicios | Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres | 1.0.2 |
| Administración de identidades | IM-8 | Restricción de la exposición de credenciales y secretos | La versión mínima de API Management debería establecerse en 01-12-2019 o superior | 1.0.1 |
| Administración de identidades | IM-8 | Restricción de la exposición de credenciales y secretos | Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | 1.0.2 |
| Acceso con privilegios | PA-7 | Seguimiento del principio Just Enough Administration (privilegio mínimo) | Las suscripciones de API Management no deben tener como ámbito todas las API | 1.1.0 |
| Protección de datos | DP-3 | Cifrar los datos confidenciales en tránsito | Las API de API Management solo deben usar protocolos cifrados | 2.0.2 |
| Protección de datos | DP-6 | Uso de un proceso seguro de administración de claves | Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | 1.0.2 |
| Administración de recursos | AM-2 | Uso exclusivo de los servicios aprobados | La versión de la plataforma Azure API Management debe ser stv2 | 1.0.0 |
| Administración de recursos | AM-3 | Garantizar la seguridad de la administración del ciclo de vida de los recursos | Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | 1.0.1 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | El punto de conexión de administración directa de API Management no debe estar habilitado | 1.0.2 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | La versión mínima de API Management debería establecerse en 01-12-2019 o superior | 1.0.1 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría y aplicación de configuraciones seguras | La versión de la plataforma Azure API Management debe ser stv2 | 1.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los servicios de API Management deben usar una red virtual | 1.0.2 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Los servicios de API Management deben usar una red virtual | 1.0.2 |
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-4 | Aplicación del flujo de información | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Los servicios de API Management deben usar una red virtual | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC-7 (3) | Puntos de acceso | Los servicios de API Management deben usar una red virtual | 1.0.2 |
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| U.07.1 Separación de datos: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los servicios de API Management deben usar una red virtual | 1.0.2 |
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.7 | Los servicios de API Management deben usar una red virtual | 1.0.2 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Resistencia de la red | 10.33 | Resistencia de la red: 10.33 | Los servicios de API Management deben usar una red virtual | 1.0.2 |
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.