Definisi kebijakan bawaan Azure Policy untuk Azure API Management
BERLAKU UNTUK: Semua tingkatAN API Management
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure API Management. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy. Jika Anda mencari kebijakan yang dapat Anda gunakan untuk memodifikasi perilaku API di API Management, lihat referensi kebijakan API Management.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure API Management
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Layanan API Management harus Zona Redundan | Layanan API Management dapat dikonfigurasi menjadi Zona Redundan atau tidak. Layanan API Management adalah Zona Redundan jika nama skunya adalah 'Premium' dan memiliki setidaknya dua entri di array zonanya. Kebijakan ini mengidentifikasi API Management Services yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| Titik akhir API di Azure API Management harus diautentikasi | Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Pelajari Selengkapnya tentang Ancaman API OWASP untuk Autentikasi Pengguna Rusak di sini: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan dapat menimbulkan risiko keamanan kepada organisasi Anda. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management tetapi mungkin secara tidak sengaja dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| API Management API hanya boleh menggunakan protokol terenkripsi | Untuk memastikan keamanan data saat transit, API harus tersedia hanya melalui protokol terenkripsi, seperti HTTPS atau WSS. Hindari menggunakan protokol yang tidak aman, seperti HTTP atau WS. | Audit, Dinonaktifkan, Tolak | 2.0.2 |
| Panggilan API Management ke backend API harus diautentikasi | Panggilan dari API Management ke backend harus menggunakan beberapa bentuk autentikasi, baik melalui sertifikat atau kredensial. Tidak berlaku untuk backend Service Fabric. | Audit, Dinonaktifkan, Tolak | 1.0.1 |
| Panggilan API Management ke backend API tidak boleh melewati thumbprint sertifikat atau validasi nama | Untuk meningkatkan keamanan API, API Management harus memvalidasi sertifikat server backend untuk semua panggilan API. Aktifkan thumbprint sertifikat SSL dan validasi nama. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Titik akhir manajemen langsung API Management tidak boleh diaktifkan | REST API manajemen langsung di Azure API Management melewati mekanisme kontrol akses, otorisasi, dan pembatasan berbasis peran Azure Resource Manager, sehingga meningkatkan kerentanan layanan Anda. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | Untuk mencegah rahasia layanan dibagikan dengan pengguna baca-saja, versi API minimum harus diatur ke 01-12-2019 atau yang lebih baru. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Nilai bernama rahasia API Management harus disimpan di Azure Key Vault | Nilai bernama adalah kumpulan pasangan nama dan nilai di setiap layanan API Management. Nilai rahasia dapat disimpan baik sebagai teks terenkripsi dalam API Management (rahasia kustom) atau dengan merujuk rahasia di Azure Key Vault. Untuk meningkatkan keamanan API Management dan rahasia, referensikan rahasia bernama nilai dari Azure Key Vault. Azure Key Vault mendukung manajemen akses terperinci dan kebijakan rotasi rahasia. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Layanan API Management harus menggunakan SKU yang mendukung jaringan virtual | Dengan SKU API Management yang didukung, menerapkan layanan ke jaringan virtual membuka fitur jaringan dan keamanan Manajemen API tingkat lanjut yang memberi Anda kontrol lebih besar atas konfigurasi keamanan jaringan Anda. Pelajari selengkapnya di: https://aka.ms/apimvnet. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| API Management harus menonaktifkan akses jaringan publik ke titik akhir konfigurasi layanan | Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| API Management harus menonaktifkan autentikasi nama pengguna dan kata sandi | Untuk mengamankan portal pengembang dengan lebih baik, autentikasi nama pengguna dan kata sandi di API Management harus dinonaktifkan. Konfigurasikan autentikasi pengguna melalui IdP Azure AD atau Azure AD B2C dan nonaktifkan autentikasi nama pengguna dan kata sandi default. | Audit, Dinonaktifkan | 1.0.1 |
| Langganan API Management tidak boleh dilingkup ke semua API | Langganan API Management harus dilingkup ke produk atau API individual alih-alih semua API, yang dapat mengakibatkan paparan data yang berlebihan. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Versi platform Azure API Management harus stv2 | Azure API Management versi platform komputasi stv1 akan dihentikan efektif 31 Agustus 2024, dan instans ini harus dimigrasikan ke platform komputasi stv2 untuk dukungan berkelanjutan. Pelajari lebih lanjut di https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi layanan API Management untuk menonaktifkan akses ke titik akhir konfigurasi layanan publik API Management | Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengubah API Management untuk menonaktifkan autentikasi nama pengguna dan kata sandi | Untuk mengamankan akun pengguna portal pengembang dan kredensial mereka dengan lebih baik, konfigurasikan autentikasi pengguna melalui penyedia identitas Azure AD atau Azure AD B2C dan nonaktifkan autentikasi nama pengguna dan kata sandi default. | Mengubah | 1.1.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.