Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Defender para la gestión de la postura de seguridad en la nube (Defender CSPM) proporciona visibilidad sobre las API en Azure API Management, Function Apps y Logic Apps. Le ayuda a detectar errores de configuración y vulnerabilidades. En este artículo se muestra cómo habilitar la posición de seguridad de la API, revisar el inventario y los resultados, y priorizar las acciones de corrección.
Nota:
Las funcionalidades de detección de API y posición de seguridad de Microsoft Defender para la nube ahora también admiten Function Apps y Logic Apps. Esta característica está disponible actualmente en versión preliminar.
Requisitos previos
- Obtenga información sobre Cómo mejorar la posición de seguridad de la API.
- Necesita una suscripción de Microsoft Azure. Si aún no tiene una, puede registrarse para obtener una suscripción gratuita.
- Habilite Defender for Cloud en la suscripción de Azure.
- Habilite Defender administración de la posición de seguridad en la nube (Defender CSPM) en la suscripción de Azure. Para obtener instrucciones de configuración, consulte Enable Defender CSPM.
- Para buscar información confidencial en las API incorporadas a Defender CSPM, enable la detección de datos confidenciales.
- El propietario de la suscripción debe habilitar el plan CSPM para acceder a todas las características.
- Asegúrese de que las API que desea proteger se implementan en Azure API Management, Function Apps o Logic Apps.
Compatibilidad de nubes y regiones
Api Security Posture Management en Defender CSPM está disponible en la nube comercial Azure, en las siguientes regiones:
- Asia (Sudeste asiático, Este de Asia)
- Australia (Este de Australia, Sudeste de Australia, Centro de Australia, Centro de Australia 2)
- Brasil (Sur de Brasil, Sudeste de Brasil)
- Canadá (Centro de Canadá, Este de Canadá)
- Europa (Oeste de Europa, Norte de Europa)
- Francia (Centro de Francia, Sur de Francia)
- Alemania (Centro-oeste de Alemania, Norte de Alemania)
- India (Centro de la India, Sur de la India, Oeste de la India)
- Italia (Norte de Italia)
- Japón (Japón Oriental, Japón Occidental)
- Corea (Centro de Corea, Sur de Corea del Sur)
- Noruega (Este de Noruega, Oeste de Noruega)
- Sudáfrica (Norte de Sudáfrica, Oeste de Sudáfrica)
- Suecia (Centro de Suecia, Sur de Suecia)
- Suiza (Norte de Suiza, Oeste de Suiza)
- Reino Unido (Sur de Reino Unido, Oeste de Reino Unido)
- EE.UU. (Este de EE. UU., Este de EE. UU. 2, Oeste de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Centro-oeste de EE. UU., Este de EE. UU. 2 EUAP, Centro de EE. UU. EUAP)
Revise la información de soporte en la nube más reciente para los planes y características de Defender for Cloud en la matriz de soporte en la nube .
Compatibilidad con API
Use la tabla siguiente para revisar los niveles admitidos y los tipos de API para la administración de la posición de seguridad de api.
| Feature | Supported |
|---|---|
| Disponibilidad |
Azure API Management: Esta característica está disponible en los niveles Premium, Estándar, Básico y Desarrollador de Azure API Management. No admite las API que se exponen a través de la puerta de enlace autohospedada de API Management ni se administran a través de áreas de trabajo de API Management. App de Azure Services: Los niveles de hospedaje compatibles Azure Function App incluyen Premium, Elastic Premium, Dedicated (App Service) y App Service Environment (ASE). Para Azure Logic Apps, los niveles admitidos incluyen Standard (de un solo inquilino) y App Service Environment (ASE). Las aplicaciones de funciones de nivel de consumo, las aplicaciones lógicas de nivel de consumo y las aplicaciones lógicas habilitadas por Azure Arc no son compatibles. |
| Tipos de API | Solo se admite soporte para API REST. |
Habilitación de la extensión de la administración de la posición de seguridad de la API
Inicie sesión en el portal Azure.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Seleccione la suscripción correspondiente.
Busque el plan de Defender CSPM y seleccione Settings.
Habilitación de la administración de la posición de seguridad de las API.
Selecciona Continuar.
Seleccione Guardar.
Aparece un mensaje de notificación que confirma que la configuración se guardó correctamente. Una vez habilitada, las API inician la incorporación y aparecen en el inventario de Defender for Cloud en unas pocas horas.
Visualización del inventario de API
Las API incorporadas al plan de Defender CSPM aparecen en el panel de seguridad de API en Protección de carga de trabajo y Microsoft Defender para la nube Inventory.
Vaya a la sección Cloud Security del menú Defender for Cloud y seleccione seguridad de API en Protecciones avanzadas de cargas de trabajo.
El panel muestra el número de API incorporadas, desglosadas por colecciones de API, puntos de conexión y servicios Azure API Management. Incluye un resumen de las APIs incorporadas para la cobertura de seguridad de detección de amenazas mediante el sistema de protección de carga de trabajo de Defender para APIs.
Aplique el filtro Defender plan == Defender CSPM para ver las API incorporadas al plan de Defender CSPM.
Selecciona Aceptar.
Seleccione una operación de API de interés para revisar los resultados de seguridad de operaciones de API específicas.
Conclusiones detalladas del punto de conexión de API
En la página de detalles del punto de conexión de API se muestran los siguientes resultados para cada operación:
Tipo de información confidencial: proporciona detalles sobre la información confidencial expuesta en las rutas de acceso de la dirección URL de la API, los parámetros de consulta, los cuerpos de las solicitudes y los cuerpos de las respuestas en función de los tipos de datos admitidos, junto con el origen del tipo de información encontrado.
Información adicional: en el caso de los cuerpos de respuesta de api, este campo muestra qué códigos de respuesta HTTP contenían información confidencial (como 2xx, 3xx, 4xx).
Examine los resultados de la posición de seguridad de las API, junto con el inventario de API, en la experiencia del inventario de Microsoft Defender para la nube.
Investigar las recomendaciones de seguridad de la API
Defender for Cloud evalúa continuamente los puntos de conexión de API para detectar vulnerabilidades y configuraciones incorrectas, incluidos los errores de autenticación y las API inactivas. Genera recomendaciones de seguridad con factores de riesgo asociados, como riesgos de exposición externa y confidencialidad de datos. Defender for Cloud calcula la importancia de las recomendaciones de seguridad en función de estos factores de riesgo. Más información sobre las recomendaciones de configuración de seguridad.
Para investigar las recomendaciones de una posición de seguridad de una API:
Vaya al menú principal de Defender for Cloud y seleccione Recommendations.
Seleccione el botón de alternancia Agrupar por título para organizar las recomendaciones.
Filtre por tipo de recurso (por ejemplo, operación de API Management o punto de conexión de API) o filtre por nombre de recomendación para restringir las recomendaciones relacionadas con la API para establecer como destino problemas de seguridad específicos de la API.
Consulte la sección APIs en la guía de referencia de recomendaciones de Defender for Cloud para obtener la lista completa de recomendaciones relacionadas con la API.
Exploración de los riesgos de la API y corrección con el análisis de rutas de acceso de ataque
Cloud Security Explorer le ayuda a identificar posibles riesgos de seguridad en su entorno de nube, para lo que debe consultar el gráfico de seguridad en la nube.
Inicie sesión en el portal Azure.
Vaya a Microsoft Defender para la nube>Cloud Security Explorer.
Use la plantilla de consulta integrada para identificar rápidamente las API con información de seguridad.
Como alternativa, cree una consulta personalizada con Cloud Security Explorer para buscar los riesgos de la API y consultar los puntos de conexión de la API conectados al proceso de back-end o a los almacenes de datos. Por ejemplo, puede ver los puntos de conexión de API que enrutan el tráfico a máquinas virtuales con vulnerabilidades de código remoto.
El análisis de rutas de acceso a ataques en Defender for Cloud aborda los problemas de seguridad que suponen amenazas inmediatas para las aplicaciones y entornos en la nube. Identifique y corrija las rutas de acceso de ataque dirigidas por API para abordar los riesgos más críticos de las API que pueden amenazar considerablemente a su organización.
En el menú de Defender for Cloud, vaya a Análisis de ruta de acceso .
Filtre por el tipo de recurso Operación de API Management para investigar las rutas de acceso de ataque relacionadas con las API.
Vea las recomendaciones de seguridad de los puntos de conexión de la API en el ámbito y corrija las recomendaciones para proteger las API de las superficies expuestas a ataques de alto riesgo.
Protección de la posición de seguridad de la API de retirada
No puede retirar las API individuales que forman parte del plan de Defender CSPM. Para retirar todas las API del plan de Defender CSPM, vaya a la página Configuración del plan de Defender CSPM y deshabilite la extensión de la posición de la API.
Seleccione Continuar y, después, Guardar para confirmarlo. Esta acción quita todas las API del plan de Defender CSPM y la gestión de la posición de seguridad de las API está deshabilitada.