Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Ez a biztonsági alapkonfiguráció a Microsoft Cloud Security Benchmark (v1.0) korábbi verzióján alapul, és elavult útmutatást tartalmazhat. A legújabb biztonsági útmutatásért tekintse meg az API Management dokumentációját.
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági referenciamutatójának útmutatását alkalmazza az Azure API Managementre. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és az API Managementre vonatkozó kapcsolódó útmutatók csoportosítják.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portal oldal Szabályozási megfelelőség szakaszában találhatók.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
Az API Managementre nem alkalmazható funkciók ki vannak zárva. Annak megtekintéséhez, hogy az API Management hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg a teljes API Management biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja az API Management nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | web |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | True |
| Az ügyféladatokat inaktív állapotban tárolja | Téves |
Hálózati biztonság
További információ: Microsoft cloud security benchmark: Network security.
NS-1: Hálózati szegmentálási határok létrehozása
Features
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában való üzembe helyezést. További információkért tekintse meg a virtuális hálózaton üzembe helyezhető szolgáltatásokat.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az API Management üzembe helyezése egy Azure-beli virtuális hálózaton belül, hogy hozzáférhessen a hálózaton belüli háttérszolgáltatásokhoz. A fejlesztői portál és az API Management-átjáró úgy konfigurálható, hogy elérhető legyen az internetről (külső) vagy csak a virtuális hálózaton belül (belső).
- Külső: az API Management-átjáró és a fejlesztői portál külső terheléselosztón keresztül érhető el a nyilvános internetről. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
- Belső: Az API Management-átjáró és a fejlesztői portál csak a virtuális hálózaton belülről érhető el egy belső terheléselosztón keresztül. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Referencia: Virtuális hálózat használata az Azure API Managementtel
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoport (NSG) szabály-hozzárendelését az alhálózatokon. További információkért tekintse meg az Azure hálózati biztonsági csoportjainak áttekintését.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok üzembe helyezése az API Management-alhálózatokon a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez. NSG-szabályok létrehozása a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Alapértelmezés szerint az NSG-k megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerből érkező forgalmat.
Figyelem: Ha az API Management alhálózaton konfigurál egy NSG-t, több portot is meg kell nyitni. Ha bármelyik port nem érhető el, előfordulhat, hogy az API Management nem működik megfelelően, és elérhetetlenné válhat.
Megjegyzés: NSG-szabályok konfigurálása az API Managementhez
Referencia: Virtuális hálózat konfigurációs referencia: API Management
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Features
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ: Mi az Az Azure Private Link?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Azokban a példányokban, ahol nem tud API Management-példányokat üzembe helyezni egy virtuális hálózaton, inkább egy privát végpontot kell üzembe helyeznie, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Megjegyzés: A privát végpontok engedélyezéséhez az API Management-példány még nem konfigurálható külső vagy belső virtuális hálózattal. A privát végpontkapcsolat csak az API Management-példány felé irányuló bejövő forgalmat támogatja.
Referencia: Privát csatlakozás az API Managementhez privát végpont használatával
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a nyilvános hálózati hozzáférés letiltása kapcsoló kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ : NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatás alhálózataihoz rendelt NSG-k IP ACL-szűrési szabályával, vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsolóval.
Megjegyzés: Az API Management támogatja a virtuális hálózatba történő üzembe helyezéseket, valamint a nem hálózati alapú üzemelő példányok privát végponttal való zárolását és a nyilvános hálózati hozzáférés letiltását.
Reference: Nyilvános hálózati hozzáférés letiltása
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.ApiManagement:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Ellenőrzés, Megtagadás, Letiltás | 1.0.2 |
NS-6: Webalkalmazási tűzfal üzembe helyezése
Egyéb útmutató az NS-6-hoz
A kritikus webes/HTTP API-k védelméhez konfigurálja az API Managementet egy virtuális hálózaton belül belső módban, és konfiguráljon egy Azure Application Gatewayt. Az Application Gateway egy PaaS-szolgáltatás. Fordított proxyként működik, és L7 terheléselosztást, útválasztást, webalkalmazási tűzfalat (WAF) és egyéb szolgáltatásokat biztosít. További információ: API Management integrálása belső virtuális hálózaton az Application Gateway használatával.
A belső virtuális hálózatban kiépített API Management és az Application Gateway előtér kombinálása a következő forgatókönyveket teszi lehetővé:
- Egyetlen API Management-erőforrás használatával az összes API-t elérhetővé teheti mind a belső, mind a külső felhasználók számára.
- Egyetlen API Management-erőforrás használata az API-k egy részhalmazának külső felhasználók számára történő közzétételéhez.
- Biztosítson módot az API Managementhez való hozzáférés nyilvános internetről való be- és kikapcsolására.
Identitáskezelés
További információ: Microsoft cloud security benchmark: Identity Management.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Features
Microsoft Entra-hitelesítés szükséges az adatsík-hozzáféréshez
Leírás: A szolgáltatás támogatja a Microsoft Entra-hitelesítés használatát az adatsík-hozzáféréshez. További információ: Mi a Microsoft Entra-hitelesítés?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, használja a Microsoft Entra ID-t az API Management alapértelmezett hitelesítési módszereként.
- Konfigurálja az API Management fejlesztői portált a fejlesztői fiókok Microsoft Entra-azonosítóval történő hitelesítéséhez.
- Konfigurálja az API Management-példányt az API-k védelmére az OAuth 2.0 protokoll és a Microsoft Entra ID használatával.
Referencia: API védelme az Azure API Managementben OAuth 2.0-hitelesítéssel a Microsoft Entra-azonosítóval
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ: Hitelesítés és engedélyezés.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Microsoft Entra ID azonosítót a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Az adatsík-hozzáférés helyi hitelesítési módszereinek használatának korlátozása. Az API Management felhasználói fiókok leltárának karbantartása és a hozzáférés egyeztetése szükség szerint. Az API Managementben a fejlesztők az API Management által közzétett API-k felhasználói. Alapértelmezés szerint az újonnan létrehozott fejlesztői fiókok aktívak, és a Fejlesztők csoporthoz vannak társítva. Az aktív állapotban lévő fejlesztői fiókok az összes olyan API eléréséhez használhatók, amelyekhez előfizetéssel rendelkeznek.
Az API Management-előfizetések emellett az API-khoz való hozzáférés biztosításának egyik eszközét jelentik, és egy pár létrehozott előfizetési kulcsot is biztosítanak, amelyek támogatják a rotációt.
Ahelyett, hogy más hitelesítési módszereket használnál, ahol lehetséges, használja a Microsoft Entra ID-t alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: API Management-szabályzat referenciája
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Features
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ: Mi az Azure-erőforrások felügyelt identitása?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Entra ID által létrehozott felügyelt szolgáltatásidentitás használatával az API Management-példány egyszerűen és biztonságosan hozzáférhet más Microsoft Entra által védett erőforrásokhoz, például az Azure Key Vaulthoz szolgáltatásnevek használata helyett. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, rotálja és védi, elkerülve ezzel a hitelesítő adatok keménykódolását a forráskódban vagy a konfigurációs fájlokban.
Referencia: API Management-szabályzat referenciája
Szolgáltatásfelelősök
Leírás: Az adatsík szolgáltatásnevek használatával támogatja a hitelesítést. További információ: Azure-szolgáltatásnév létrehozása az Azure PowerShell-lel.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
IM-5: Egyszeri bejelentkezés (SSO) használata az alkalmazáshoz való hozzáféréshez
További útmutatás az IM-5-höz
Az Azure API Management úgy konfigurálható, hogy a Microsoft Entra ID-t identitásszolgáltatóként használja a felhasználók hitelesítéséhez a fejlesztői portálon, hogy kihasználhassa a Microsoft Entra által kínált egyszeri bejelentkezés képességeit. A konfigurálást követően az új fejlesztői portál felhasználói dönthetnek úgy, hogy követik a helyszíni regisztrációs folyamatot, először hitelesítik a Microsoft Entrát, majd a hitelesítést követően befejezik a regisztrációs folyamatot a portálon.
Másik lehetőségként a bejelentkezési/regisztrációs folyamat delegálással tovább testre szabható. A delegálás lehetővé teszi, hogy meglévő webhelyét használja a fejlesztői bejelentkezés/regisztráció és a termékekre való előfizetés kezelésére, szemben a fejlesztői portál beépített funkcióival. Lehetővé teszi a webhely számára, hogy a felhasználói adatok tulajdonosa legyen, és egyéni módon végezze el ezeknek a lépéseknek az ellenőrzését.
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Features
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés a Microsoft Entra feltételes hozzáférési szabályzatokkal szabályozható. További információ: Mi a feltételes hozzáférés?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Features
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Azure Key Vault integrációját és tárolását
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ: Tudnivalók az Azure Key Vault titkos kulcsairól.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy az API Management (névvel ellátott értékek) titkos kulcsai egy Azure Key Vaultban vannak tárolva, hogy azok biztonságosan elérhetők és frissíthetők legyenek.
Referencia: Névvel ellátott értékek használata az Azure API Management-szabályzatokban a Key Vault-integrációval
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.ApiManagement:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Ellenőrzés, Megtagadás, Letiltás | 1.0.1 |
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Features
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ: A kiemelt jogosultságú/rendszergazdai felhasználók elkülönítése és korlátozása.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Microsoft Entra-azonosítót a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Ha nem szükséges rutinszintű rendszergazdai műveletekhez, tiltsa le vagy korlátozza a helyi rendszergazdai fiókokat csak vészhelyzeti használatra.
Megjegyzés: Az API Management lehetővé teszi a helyi felhasználói fiók létrehozását. A helyi fiókok létrehozása helyett engedélyezze a Microsoft Entra-hitelesítést, és rendeljen engedélyeket ezekhez a Microsoft Entra-azonosító fiókokhoz.
Referencia: Felhasználói fiókok kezelése az Azure API Managementben
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Features
Azure RBAC az adatsíkhoz
Leírás: Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ: Mi az Azure szerepköralapú hozzáférés-vezérlése?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure RBAC használatával szabályozhatja az API Managementhez való hozzáférést. Az API Management az Azure RBAC-re támaszkodik az API Management-szolgáltatások és -entitások (például API-k és szabályzatok) részletes hozzáférés-kezelésének engedélyezéséhez.
Referencia: Szerepköralapú hozzáférés-vezérlés használata az Azure API Managementben
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.ApiManagement:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az API Management-előfizetések nem szabad, hogy az összes API-ra vonatkozzanak | Az API Management-előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Ellenőrzés, Letiltás, Megtagadás | 1.1.0 |
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Features
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információkért tekintse meg a Microsoft Azure Ügyfélzárolási postaládája című témakört.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Közös |
Konfigurációs útmutató: Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át a Customer Lockboxot, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Features
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ: Bizalmas adatok felderítése, osztályozása és címkézése.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Features
Adatszivárgás/adatvesztés megelőzése
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés monitorozásához (az ügyfél tartalmában). További információ: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Features
Az adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információkért tekintse meg az átvitel alatt lévő adatokat.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Konfigurációs útmutató: Nincs szükség más konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Protokollok és titkosítások kezelése az Azure API Managementben
További útmutatás a DP-3-hoz
A felügyeleti sík hívásai az Azure Resource Manageren keresztül, TLS-en keresztül történnek. Érvényes JSON tokent (JWT) van szükség. Az adatsík-hívások TLS-lel és egy támogatott hitelesítési mechanizmussal (például ügyféltanúsítvány vagy JWT) védhetők.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.ApiManagement:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokkal, például HTTPS-sel vagy WSS-sel kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t. | Ellenőrzés, Letiltás, Megtagadás | 2.0.2 |
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Features
Nyugalmi állapotban lévő adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott. Az inaktív ügyféladatok titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ: Inaktív titkosítás a Microsoft felhőszolgáltatásaiban.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Szolgáltatásjegyzetek: Az API Management-példányok ügyféladatai, beleértve az API-beállításokat, a termékeket, az előfizetéseket, a felhasználókat, a csoportokat és az egyéni fejlesztői portál tartalmát, egy SQL Azure-adatbázisban és az Azure Storage-ban tárolják, amely automatikusan titkosítja a tartalmat inaktív állapotban.
Konfigurációs útmutató: Nincs szükség más konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
DP-6: Biztonságos kulcskezelési folyamat használata
Features
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ: Az Azure Key Vault ismertetése.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy az API Management által használt kulcsok egy Azure Key Vaultban vannak tárolva, hogy azok biztonságosan elérhetők és frissíthetők legyenek.
Referencia: A Key Vault integrációjának előfeltételei
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.ApiManagement:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek név- és értékpárok gyűjteményét jelentik minden API Management szolgáltatásban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Ellenőrzés, Letiltás, Megtagadás | 1.0.2 |
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Features
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ: Ismerkedés a Key Vault-tanúsítványokkal.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy az API Management (névvel ellátott értékek) titkos kulcsai egy Azure Key Vaultban vannak tárolva, hogy azok biztonságosan elérhetők és frissíthetők legyenek.
Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és az Azure-szolgáltatásban (ha támogatott) meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy manuális módszerekkel forgassa őket az Azure Key Vaultban és az alkalmazásban.
Referencia: Háttérszolgáltatások védelme ügyféltanúsítvány-hitelesítéssel az Azure API Managementben
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Features
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A beépített Azure Policy használatával figyelheti és kényszerítheti ki a biztonságos konfigurációt az API Management-erőforrások között. Az Azure Policy-aliasok a Microsoft.ApiManagement névtérben való használatával szükség esetén egyéni Azure Policy-definíciókat hozhatnak létre.
Referencia: Azure Policy beépített szabályzatdefiníciók az Azure API Managementhez
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Features
Microsoft Defender for Service / termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ: Mi az a Microsoft Defender for Cloud?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud api-khoz készült Microsoft Defender teljes életciklus-védelmet, észlelést és válaszadást biztosít az Azure API Managementben felügyelt API-k számára.
API-k beillesztése a Defender for API-kba egy kétlépcsős folyamat: első lépésként lehetővé kell tenni a Defender for API-k tervét az előfizetéshez, majd be kell illeszteni a nem védett API-kat egy API Management-példányba.
Az API Management-példány menüjében a Microsoft Defender for Cloud kiválasztásával megtekintheti az előkészített API-kra vonatkozó biztonsági javaslatok és riasztások összegzését.
Referencia: Speciális API-biztonsági funkciók engedélyezése a Microsoft Defender for Cloud használatával
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Features
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ: Azure Monitor-adatforrások és adatgyűjtési módszerek.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat az API Managementhez, az erőforrásnaplók részletes információkat nyújtanak a naplózás és hibaelhárítás szempontjából fontos műveletekről és hibákról. Az API Management erőforrásnaplóinak kategóriái a következők:
- Átjárónaplók
- WebSocketConnectionLogs
Referencia: Erőforrásnaplók
Biztonsági mentés és helyreállítás
További információ: Microsoft cloud security benchmark: Backup and Recovery.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Features
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ: Mi az Azure Backup szolgáltatás?
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Natív szolgáltatásbeli biztonsági mentési képesség
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ: Rendszeres automatikus biztonsági mentések biztosítása.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Közös |
További útmutatás: Használja a biztonsági mentési és visszaállítási képességeket az API Management szolgáltatásban. A biztonsági mentési képességek használatakor az API Management biztonsági másolatokat ír az ügyfél tulajdonában lévő Azure Storage-fiókokba. A biztonsági mentési és visszaállítási műveleteket az API Management biztosítja a teljes rendszer biztonsági mentéséhez és visszaállításához.
Kapcsolódó tartalom
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További információ az Azure biztonsági alapkonfigurációiról