Azure Policy beépített szabályzatdefiníciók az Azure API Managementhez
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Ez a lap az Azure API Management azure policy beépített szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit. Ha olyan szabályzatokat keres, amelyek segítségével módosíthatja az API viselkedését az API Managementben, tekintse meg az API Management szabályzatainak referenciáját.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure API Management
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az API Management Service-nek zónaredundánsnak kell lennie | Az API Management Service beállítható zónaredundánsként vagy nem. Az API Management Szolgáltatás zónaredundáns, ha a termékváltozat neve "Prémium", és legalább két bejegyzést tartalmaz a zónatömbben. Ez a szabályzat azonosítja az API Management Servicest, amely nem rendelkezik a zónakimaradás kezeléséhez szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| Az Azure API Management API-végpontjait hitelesíteni kell | Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. További információ az OWASP API-fenyegetésről a hibás felhasználói hitelesítéshez: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból | Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet a szervezet számára. Ezek lehetnek olyan API-k, amelyeknek elavultnak kellett volna lenniük az Azure API Management szolgáltatásból, de előfordulhat, hogy véletlenül aktívak maradtak. Az ilyen API-k általában nem a legfrissebb biztonsági lefedettséget kapják. | AuditIfNotExists, Disabled | 1.0.1 |
| Az API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokkal, például HTTPS-sel vagy WSS-sel kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t. | Naplózás, Letiltás, Megtagadás | 2.0.2 |
| Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat | Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre. | Naplózás, Letiltás, Megtagadás | 1.0.1 |
| Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést | Az API biztonságának javítása érdekében az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management közvetlen felügyeleti végpontja nem engedélyezhető | Az Azure API Management közvetlen felügyeleti REST API-ja átadja az Azure Resource Manager szerepköralapú hozzáférés-vezérlési, engedélyezési és szabályozási mechanizmusait, így növelve a szolgáltatás sebezhetőségét. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek név- és értékpárok gyűjteményei az EGYES API Management-szolgáltatásokban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management szolgáltatásnak virtuális hálózatokat támogató termékváltozatot kell használnia | Az API Management támogatott termékváltozataival a szolgáltatás virtuális hálózatba való üzembe helyezése lehetővé teszi az API Management speciális hálózatkezelési és biztonsági funkcióinak használatát, így nagyobb mértékben szabályozhatja a hálózati biztonsági konfigurációt. További információ: https://aka.ms/apimvnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | AuditIfNotExists, Disabled | 1.0.1 |
| Az API Managementnek le kell tiltani a felhasználónevet és a jelszó-hitelesítést | A fejlesztői portál biztonságossá tételéhez le kell tiltani a felhasználónevet és a jelszó-hitelesítést az API Managementben. Konfigurálja a felhasználói hitelesítést az Azure AD vagy az Azure AD B2C identitásszolgáltatókon keresztül, és tiltsa le az alapértelmezett felhasználónevet és jelszót. | Naplózás, letiltva | 1.0.1 |
| Az API Management-előfizetések nem tartozhatnak az összes API-ra | Az API Management-előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| Az Azure API Management platformverziójának stv2-nek kell lennie | Az Azure API Management stv1 számítási platformjának verziója 2024. augusztus 31-én megszűnik, és a folyamatos támogatás érdekében ezeket a példányokat át kell telepíteni az stv2 számítási platformra. További információ: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Naplózás, megtagadás, letiltva | 1.0.0 |
| API Management-szolgáltatások konfigurálása az API Management nyilvános szolgáltatás konfigurációs végpontjaihoz való hozzáférés letiltásához | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | DeployIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az API Management-szolgáltatásokhoz készült Event Hubra (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az API Management-szolgáltatásokhoz (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók API Management-szolgáltatásokhoz (microsoft.apimanagement/service) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Az API Management módosítása a felhasználónév- és jelszóhitelesítés letiltásához | A fejlesztői portál felhasználói fiókjainak és hitelesítő adatainak hatékonyabb védelme érdekében konfigurálja a felhasználói hitelesítést az Azure AD vagy az Azure AD B2C identitásszolgáltatókon keresztül, és tiltsa le az alapértelmezett felhasználónevet és jelszót. | Módosítás | 1.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: