Recomendaciones de seguridad de API/API Management
En este artículo se enumeran todas las recomendaciones de seguridad de API/API Management que puede ver en Microsoft Defender for Cloud.
Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.
Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.
Recomendaciones de API de Azure
Se debe habilitar Microsoft Defender para las API
Descripción y directiva relacionada: habilite el plan de Defender para LAS API para detectar y proteger los recursos de API contra ataques y configuraciones incorrectas de seguridad. Más información
Gravedad: alta
Las API de Azure API Management deben incorporarse a Defender para API
Descripción y directiva relacionada: la incorporación de API a Defender para API requiere el uso de memoria y proceso en el servicio Azure API Management. Supervise el rendimiento del servicio Azure API Management al incorporar las API y escale horizontalmente los recursos de Azure API Management según sea necesario.
Gravedad: alta
Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management
Descripción y directiva relacionada: como procedimiento recomendado de seguridad, los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar podría suponer un riesgo de seguridad. Pueden tratarse de las API que deberían haber quedado en desuso del servicio Azure API Management, pero que accidentalmente se han dejado activas. Normalmente, estas API no reciben la cobertura de seguridad más actualizada.
Gravedad: baja
Los puntos de conexión de API en Azure API Management deben autenticarse
Descripción y directiva relacionada: los puntos de conexión de API publicados en Azure API Management deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. En el caso de las API publicadas en Azure API Management, esta recomendación evalúa la autenticación mediante la comprobación de la presencia de claves de suscripción de Azure API Management para las API o productos en los que se requiere la suscripción y la ejecución de directivas para validar tokens JWT, certificados de cliente y Microsoft Entra . Si ninguno de estos mecanismos de autenticación se ejecuta durante la llamada API, la API recibirá esta recomendación.
Gravedad: alta
Recomendaciones de API Management
Las suscripciones de API Management no deben tener como ámbito todas las API
Descripción y directiva relacionada: las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos.
Gravedad: media
Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres
Descripción y directiva relacionada: API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres para mejorar la seguridad de la API.
Gravedad: media
El punto de conexión de administración directa de API Management no debe estar habilitado
Descripción y directiva relacionada: la API REST de administración directa en Azure API Management omite los mecanismos de control de acceso, autorización y limitación basados en roles de Azure Resource Manager, lo que aumenta la vulnerabilidad del servicio.
Gravedad: baja
Las API de API Management solo deben usar protocolos cifrados
Descripción y directiva relacionada: las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite el uso de protocolos no seguros, como HTTP o WS para garantizar la seguridad de los datos en tránsito.
Gravedad: alta
Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault
Descripción y directiva relacionada: los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Haga referencia a los valores con nombre del secreto de Azure Key Vault para mejorar la seguridad de API Management y de los secretos. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos.
Gravedad: media
API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio
Descripción y directiva relacionada: para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración de acceso directo, el punto de conexión de administración de configuración de Configuración de Git o los puntos de conexión de configuración de puertas de enlace autohospedados.
Gravedad: media
La versión mínima de API Management debería establecerse en 01-12-2019 o superior
Descripción y directiva relacionada: para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 2019-12-01 o superior.
Gravedad: media
Las llamadas de API Management a las back-end de API deberían autenticarse
Descripción y directiva relacionada: las llamadas de API Management a los back-end deben usar algún tipo de autenticación, ya sea a través de certificados o credenciales. No se aplica a back-ends de Service Fabric.
Gravedad: media