Az API Management Azure-os biztonsági alapkonfigurációja
Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a API Management. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a API Management vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A API Management nem alkalmazható funkciók ki lettek zárva. A API Management a Microsoft felhőbiztonsági teljesítménytesztjének teljes API Management biztonsági alapkonfiguráció-leképezési fájljában tekinthet meg.
Biztonsági profil
A biztonsági profil összefoglalja a API Management nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Webes |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Hamis |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Helyezze üzembe az Azure API Management egy Azure-Virtual Network (VNET)-ben, hogy hozzáférhessen a hálózaton belüli háttérszolgáltatásokhoz. A fejlesztői portál és a API Management átjáró úgy konfigurálható, hogy elérhető legyen az internetről (külső) vagy csak a virtuális hálózaton belül (belső).
- Külső: a API Management átjáró és a fejlesztői portál egy külső terheléselosztón keresztül érhető el a nyilvános internetről. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
- Belső: az API Management átjáró és a fejlesztői portál csak a virtuális hálózaton belülről érhető el egy belső terheléselosztón keresztül. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Referencia: Virtuális hálózat használata az Azure API Management
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Helyezzen üzembe hálózati biztonsági csoportokat (NSG-t) a API Management alhálózatokon a forgalom port, protokoll, forrás IP-cím vagy cél IP-cím szerinti korlátozásához vagy figyeléséhez. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Figyelem: Ha az API Management alhálózaton konfigurál egy NSG-t, nyitva kell lennie egy portkészletnek. Ha ezen portok bármelyike nem érhető el, előfordulhat, hogy API Management nem működik megfelelően, és elérhetetlenné válhat.
Megjegyzés: NSG-szabályok konfigurálása API Management
Referencia: Virtuális hálózat konfigurációs referenciája: API Management
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azokban a példányokban, ahol nem lehet API Management példányokat virtuális hálózaton üzembe helyezni, ehelyett magánvégpontot kell üzembe helyeznie az erőforrásokhoz tartozó privát hozzáférési pont létrehozásához.
Megjegyzés: A privát végpontok engedélyezéséhez a API Management példány még nem konfigurálható külső vagy belső virtuális hálózattal. A privát végpontkapcsolatok csak a API Management példány bejövő forgalmát támogatják.
Referencia: Privát csatlakozás API Management privát végpont használatával
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatás alhálózataihoz rendelt NSG-k IP ACL-szűrési szabályával vagy a nyilvános hálózati hozzáféréshez tartozó összesítő kapcsolóval.
Megjegyzés: API Management támogatja a virtuális hálózaton történő üzembe helyezéseket, valamint a nem hálózati alapú üzemelő példányok privát végponttal való zárolását és a nyilvános hálózati hozzáférés letiltását.
Referencia: Nyilvános hálózati hozzáférés letiltása
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| API Management szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot, elkülönítést biztosít, és lehetővé teszi, hogy a API Management szolgáltatást egy nem internetezhető hálózatba helyezze, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
NS-6: Webalkalmazási tűzfal üzembe helyezése
Egyéb útmutató az NS-6-hoz
A kritikus fontosságú web-/HTTP API-k védelméhez konfiguráljon API Management egy Virtual Network (VNET) belső módban, és konfiguráljon egy Azure Application Gateway. Application Gateway Egy PaaS-szolgáltatás. Fordított proxyként működik, és L7 terheléselosztást, útválasztást, webalkalmazási tűzfalat (WAF) és egyéb szolgáltatásokat biztosít. További információk.
A belső virtuális hálózatban kiépített API Management és a Application Gateway előtér kombinálásával a következő forgatókönyvek engedélyezettek:
- Egyetlen API Management erőforrást használva az összes API-t a belső és a külső fogyasztók számára is kiteszi.
- Egyetlen API Management erőforrással tárhatja fel az API-k egy részét a külső fogyasztók számára.
- Biztosítson módot arra, hogy a nyilvános internetről be- és kikapcsolja a API Management elérését.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, használja az Azure Active Directoryt (Azure AD) a API Management alapértelmezett hitelesítési módszereként.
- Konfigurálja az Azure API Management Fejlesztői portált a fejlesztői fiókok hitelesítéséhez Azure AD használatával.
- Konfigurálja az Azure API Management-példányt az API-k védelméhez az OAuth 2.0 protokoll Azure AD használatával.
Referencia: API védelme az Azure API Management-ben OAuth 2.0-hitelesítéssel az Azure Active Directoryval
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Korlátozza a helyi hitelesítési módszerek használatát az adatsíkhoz való hozzáféréshez, tartsa fenn a API Management felhasználói fiókok leltárát, és szükség szerint egyeztetje a hozzáférést. A API Management a fejlesztők a API Management által közzétett API-k felhasználói. Alapértelmezés szerint az újonnan létrehozott fejlesztői fiókok aktívak, és a Fejlesztők csoporthoz vannak társítva. Az aktív állapotban lévő fejlesztői fiókok az összes olyan API eléréséhez használhatók, amelyekhez előfizetéssel rendelkeznek.
Emellett az Azure API Management-előfizetések az API-khoz való hozzáférés biztonságossá tételének egyik eszközei, és a rotációt támogató létrehozott előfizetési kulcsok párjával járnak.
Ahelyett, hogy más hitelesítési módszereket használ, ahol lehetséges, használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Hitelesítés alapszintű használatával
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Active Directory (Azure AD) által létrehozott felügyeltszolgáltatás-identitással a API Management-példány egyszerűen és biztonságosan hozzáférhet más Azure AD védett erőforrásokhoz, például az Azure Key Vault szolgáltatásnevek használata helyett. A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
Referencia: Hitelesítés felügyelt identitással
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
IM-5: Egyszeri bejelentkezés (SSO) használata alkalmazáshozzáféréshez
További útmutatás a csevegőgép-5-höz
Az Azure API Management úgy konfigurálható, hogy az Azure Active Directoryt (Azure AD) használja identitásszolgáltatóként a felhasználók a fejlesztői portálon való hitelesítéséhez, hogy kihasználhassa a Azure AD által kínált egyszeri bejelentkezési képességeket. A konfigurálást követően az új fejlesztői portál felhasználói dönthetnek úgy, hogy követik a beépített regisztrációs folyamatot, először hitelesítik a Azure AD, majd a hitelesítést követően befejezik a regisztrációt a portálon.
Másik lehetőségként a bejelentkezési/regisztrációs folyamat tovább testre szabható a delegálással. A delegálás lehetővé teszi a meglévő webhely használatát a fejlesztői bejelentkezés/regisztráció és a termékekre való előfizetés kezelésére, nem pedig a fejlesztői portál beépített funkcióinak használatára. Lehetővé teszi, hogy a webhelye birtokolja a felhasználói adatokat, és egyéni módon végezze el ezeknek a lépéseknek az ellenőrzését.
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy a API Management titkos kódjai (névvel ellátott értékek) egy Azure-Key Vault vannak tárolva, hogy biztonságosan elérhessék és frissíthessék őket.
Referencia: Névvel ellátott értékek használata az Azure API Management-szabályzatokban Key Vault integrációval
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| API Management MINIMÁLIS API-verziót 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kódjainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Ha nem szükséges rutinszintű felügyeleti műveletekhez, tiltsa le vagy korlátozza a helyi rendszergazdai fiókokat csak vészhelyzeti használatra.
Megjegyzés: API Management lehetővé teszi a helyi felhasználói fiók létrehozását. A helyi fiókok létrehozása helyett engedélyezze az Azure Active Directory (Azure AD) hitelesítést, és rendeljen engedélyeket ezekhez a Azure AD fiókokhoz.
Referencia: Felhasználói fiókok kezelése az Azure API Management
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával szabályozhatja az Azure API Management való hozzáférést. Az Azure API Management az Azure szerepköralapú hozzáférés-vezérlésére támaszkodik, hogy lehetővé tegye API Management szolgáltatások és entitások (például API-k és szabályzatok) részletes hozzáférés-kezelését.
Referencia: A Role-Based Access Control használata az Azure API Management-ban
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| API Management előfizetések nem tartozhatnak az összes API-ra | API Management előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Naplózás, letiltva, megtagadás | 1.1.0 |
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Protokollok és titkosítások kezelése az Azure API Management
További útmutatás a DP-3-hoz
A felügyeleti sík hívásai az Azure Resource Manager keresztül, TLS-en keresztül történik. Érvényes JSON-webes jogkivonatra (JWT) van szükség. Az adatsík-hívások A TLS és az egyik támogatott hitelesítési mechanizmus (például ügyféltanúsítvány vagy JWT) segítségével védhetők.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokon, például HTTPS- vagy WSS-protokollokon keresztül kell elérhetőnek lenniük. Kerülje a nem biztonságos protokollok( például HTTP vagy WS) használatát. | Naplózás, letiltva, megtagadás | 2.0.2 |
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Egy API Management példány ügyféladatai, beleértve az API-beállításokat, a termékeket, az előfizetéseket, a felhasználókat, a csoportokat és az egyéni fejlesztői portál tartalmát, egy SQL Azure adatbázisban és az Azure Storage-ban tárolják, amely automatikusan titkosítja a inaktív tartalmakat.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy a API Management által használt kulcsok egy Azure-Key Vault vannak tárolva, hogy biztonságosan elérhetők és frissíthetők legyenek.
Referencia: A Key Vault integrációjának előfeltételei
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| API Management titkos elnevezett értékeket az Azure Key Vault | A névvel ellátott értékek név- és értékpárok gyűjteményei minden API Management szolgáltatásban. A titkos kódok értékei titkosított szövegként tárolhatók API Management (egyéni titkos kódok) vagy az Azure Key Vault titkos kulcsainak hivatkozásával. A API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsváltási szabályzatokat. | Naplózás, letiltva, megtagadás | 1.0.2 |
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A API Management és az Azure Key Vault integrációjának beállítása. Győződjön meg arról, hogy a API Management titkos kódjai (névvel ellátott értékek) egy Azure-Key Vault vannak tárolva, hogy biztonságosan elérhessék és frissíthessék őket.
Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vault és az Azure-szolgáltatásban (ha támogatott) egy meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az azure-Key Vault és az alkalmazásban manuális módszerekkel is elforgatja őket.
Referencia: Háttérszolgáltatások védelme ügyféltanúsítvány-hitelesítéssel az Azure API Management
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A beépített Azure Policy használatával figyelheti és kényszerítheti a biztonságos konfigurációt API Management erőforrások között. A "Microsoft.ApiManagement" névtérben Azure Policy aliasok használatával szükség esetén egyéni Azure Policy definíciókat hozhat létre.
Referencia: Azure Policy beépített szabályzatdefiníciók az Azure API Management
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az API-khoz készült Defender, amely Microsoft Defender a felhőhöz, teljes életciklus-védelmet, észlelést és reagálási lefedettséget nyújt az Azure API Management által felügyelt API-k számára.
Az API-k a Defender for API-kba történő előkészítése két lépésből áll: az előfizetéshez készült Defender API-k tervének engedélyezése és a nem védett API-k előkészítése a API Management-példányokban.
Az előkészített API-kra vonatkozó biztonsági javaslatok és riasztások összegzésének megtekintéséhez válassza a API Management-példány menüjében a felhőhöz készült Microsoft Defender lehetőséget.
Referencia: Speciális API-biztonsági funkciók engedélyezése a Microsoft Defender for Cloud használatával
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat API Management, az erőforrásnaplók részletes információkat nyújtanak a naplózás és hibaelhárítás szempontjából fontos műveletekről és hibákról. A API Management erőforrásnaplóinak kategóriái a következők:
- Átjárónaplók
- WebSocketConnectionLogs
Referencia: APIM-erőforrásnaplók
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
További útmutatás: Használja ki a biztonsági mentési és visszaállítási képességeket az Azure API Management szolgáltatásban. A biztonsági mentési képességek kihasználásával az Azure API Management az ügyfél tulajdonában lévő Azure Storage-fiókokba ír biztonsági másolatokat. A biztonsági mentési és visszaállítási műveleteket az Azure API Management biztosítja a teljes rendszer biztonsági mentéséhez és visszaállításához.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről