Definiciones de directivas integradas de Azure Policy para Azure API Management
SE APLICA A: todos los niveles de API Management
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure API Management. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy. Si busca directivas que puede usar para modificar el comportamiento de la API en API Management, consulte Referencia de directivas de API Management.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure API Management
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: el servicio API Management debe ser con redundancia de zona | El servicio API Management se puede configurar para que sea con redundancia de zona o no. Un servicio de API Management tiene redundancia de zona si el nombre de la SKU es "Premium" y tiene al menos dos entradas en su matriz de zonas. Esta directiva identifica los servicios de API Management que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.1-preview |
| Los puntos de conexión de API en Azure API Management deben autenticarse | Los puntos de conexión de las API publicados en Azure API Management deben aplicar la autenticación para minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. Obtenga más información sobre la amenaza de la API de OWASP para la autenticación de usuario rota aquí: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | Como procedimiento recomendado de seguridad, los puntos de conexión de las API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar puede suponer un riesgo de seguridad para su organización. Puede tratarse de las API que deberían haber quedado en desuso del servicio Azure API Management, pero que se han podido dejar activas accidentalmente. Normalmente, estas API no reciben la cobertura de seguridad más actualizada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las API de API Management solo deben usar protocolos cifrados | Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| Las llamadas de API Management a las back-end de API deberían autenticarse | Las llamadas de API Management a back-ends deberían usar algún tipo de autenticación, ya sea mediante certificados o credenciales. No se aplica a back-ends de Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres | Para mejorar la seguridad de la API, API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres. | Audit, Disabled, Deny | 1.0.2 |
| El punto de conexión de administración directa de API Management no debe estar habilitado | La API de REST de administración directa en Azure API Management omite los mecanismos de control de acceso, autorización y limitación basados en rol de Azure Resource Manager, lo que aumenta la vulnerabilidad del servicio. | Audit, Disabled, Deny | 1.0.2 |
| La versión mínima de API Management debería establecerse en 01-12-2019 o superior | Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. | Audit, Deny, Disabled | 1.0.1 |
| Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | Los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y secretos, haga referencia a los valores con nombre del secreto de Azure Key Vault. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos. | Audit, Disabled, Deny | 1.0.2 |
| El servicio API Management debe usar una SKU que admita redes virtuales | Con las SKU compatibles de API Management, el servicio de implementación en una red virtual desbloquea las características avanzadas de seguridad y redes de API Management, lo que proporciona un mayor control sobre la configuración de seguridad de red. Más información en: https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio | Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. | AuditIfNotExists, Disabled | 1.0.1 |
| API Management debe tener deshabilitada la autenticación de nombre de usuario y contraseña | Para proteger mejor el portal para desarrolladores, debe deshabilitarse la autenticación de nombre de usuario y contraseña en API Management. Configure la autenticación de usuario mediante Azure AD o los proveedores de identidades de Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. | Audit, Disabled | 1.0.1 |
| Las suscripciones de API Management no deben tener como ámbito todas las API | Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. | Audit, Disabled, Deny | 1.1.0 |
| La versión de la plataforma Azure API Management debe ser stv2 | La versión de la plataforma de proceso stv1 de Azure API Management se retirará a partir del 31 de agosto de 2024, y estas instancias deben migrarse a la plataforma de proceso de stv2 para mantener el soporte técnico. Más información en https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de servicios API Management para deshabilitar el acceso a API Management puntos de conexión de configuración de servicio público | Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. | DeployIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Modificación de API Management para deshabilitar la autenticación de nombre de usuario y contraseña | Para proteger mejor las cuentas de usuario del portal para desarrolladores y sus credenciales, configure la autenticación de usuario a través de los proveedores de identidades de Azure AD o Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. | Modificar | 1.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.