Dasar keamanan Azure untuk API Management
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke API Management. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk API Management.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk API Management telah dikecualikan. Untuk melihat bagaimana API Management sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan API Management lengkap.
Profil keamanan
Profil keamanan merangkum perilaku API Management berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Web |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | FALSE |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Sebarkan Azure API Management di dalam Azure Virtual Network (VNET), sehingga dapat mengakses layanan backend dalam jaringan. Portal pengembang dan gateway API Management dapat dikonfigurasi agar dapat diakses baik dari Internet (Eksternal) atau hanya dalam Vnet (Internal).
- Eksternal: gateway API Management dan portal pengembang dapat diakses dari internet publik melalui penyeimbang beban eksternal. Gateway dapat mengakses sumber daya dalam jaringan virtual.
- Internal: gateway API Management dan portal pengembang hanya dapat diakses dari dalam jaringan virtual melalui penyeimbang beban internal. Gateway dapat mengakses sumber daya dalam jaringan virtual.
Referensi: Menggunakan jaringan virtual dengan Azure API Management
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Sebarkan grup keamanan jaringan (NSG) ke subnet API Management Anda untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
Perhatian: Saat mengonfigurasi NSG di subnet API Management, ada set port yang harus dibuka. Jika salah satu dari port ini tidak tersedia, API Management mungkin tidak beroperasi dengan benar dan mungkin tidak dapat diakses.
Catatan: Mengonfigurasi aturan NSG untuk API Management
Referensi: Referensi konfigurasi jaringan virtual: API Management
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Dalam kasus di mana Anda tidak dapat menyebarkan instans API Management ke dalam jaringan virtual, Anda harus menyebarkan titik akhir privat untuk membuat titik akses privat untuk sumber daya tersebut.
Catatan: Untuk mengaktifkan titik akhir privat, instans API Management belum dapat dikonfigurasi dengan jaringan virtual eksternal atau internal. Koneksi titik akhir pribadi hanya mendukung lalu lintas masuk ke instans API Management.
Referensi: Menyambungkan secara privat ke API Management menggunakan titik akhir privat
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL pada NSG yang ditetapkan ke subnet layanan atau sakelar pengalih untuk akses jaringan publik.
Catatan: API Management mendukung penyebaran ke jaringan virtual, serta mengunci penyebaran berbasis non-jaringan dengan titik akhir privat dan menonaktifkan akses jaringan publik.
Referensi: Nonaktifkan Akses Jaringan Publik
Pemantauan Microsoft Defender untuk Cloud
Azure Policy definisi bawaan - Microsoft.ApiManagement:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
NS-6: Menyebarkan firewall aplikasi web
Panduan lain untuk NS-6
Untuk melindungi API Web/HTTP penting, konfigurasikan API Management dalam Virtual Network (VNET) dalam mode internal dan konfigurasikan Azure Application Gateway. Application Gateway adalah layanan PaaS. Layanan ini bertindak sebagai proksi balik dan menyediakan penyeimbangan beban L7, perutean, firewall aplikasi web (WAF), dan layanan lainnya. Pelajari lebih lanjut.
Mengombinasikan API Management yang disediakan di Vnet internal dengan bagian depan Application Gateway memungkinkan skenario berikut:
- Gunakan satu sumber daya API Management untuk mengekspos semua API ke konsumen internal dan konsumen eksternal.
- Gunakan satu sumber daya API Management untuk mengekspos subset API ke konsumen eksternal.
- Menyediakan cara untuk mengalihkan akses ke API Management dari Internet publik mengaktifkan dan menonaktifkan.
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk API Management jika memungkinkan.
- Konfigurasikan Portal Pengembang Azure API Management Anda untuk mengautentikasi akun pengembang menggunakan Azure AD.
- Konfigurasikan instans Azure API Management Anda untuk melindungi API Anda dengan menggunakan protokol OAuth 2.0 dengan Azure AD.
Referensi: Melindungi API di Azure API Management menggunakan otorisasi OAuth 2.0 dengan Azure Active Directory
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data, pertahankan inventori akun pengguna API Management dan rekonsiliasi akses sesuai kebutuhan. Dalam API Management, pengembang adalah konsumen API yang terpapar dengan API Management. Secara default, akun developer yang baru dibuat adalah akun Aktif, dan terkait dengan grup Pengembang. Akun pengembang yang dalam status aktif dapat digunakan untuk mengakses semua API yang memiliki langganan.
Selain itu, langganan Azure API Management adalah salah satu sarana untuk mengamankan akses ke API dan dilengkapi dengan sepasang kunci langganan yang dihasilkan yang mendukung rotasi.
Alih-alih menggunakan metode autentikasi lainnya, jika memungkinkan menggunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Mengautentikasi dengan Dasar
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Identitas Layanan Terkelola yang dihasilkan oleh Azure Active Directory (Azure AD) untuk memungkinkan instans API Management Anda mengakses sumber daya lain yang dilindungi Azure AD dengan mudah dan aman, seperti Azure Key Vault alih-alih menggunakan perwakilan layanan. Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Referensi: Mengautentikasi dengan identitas terkelola
Perwakilan Layanan
Deskripsi: Data plane mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-5: Gunakan akses menyeluruh (SSO) untuk akses aplikasi
Panduan lain untuk IM-5
Azure API Management dapat dikonfigurasi untuk memanfaatkan Azure Active Directory (Azure AD) sebagai penyedia identitas untuk mengautentikasi pengguna di Portal Pengembang untuk mendapatkan manfaat dari kemampuan SSO yang ditawarkan oleh Azure AD. Setelah dikonfigurasi, pengguna Portal Pengembang baru dapat memilih untuk mengikuti proses pendaftaran siap pakai dengan terlebih dahulu mengautentikasi melalui Azure AD dan kemudian menyelesaikan proses pendaftaran di portal setelah diautentikasi.
Cara lainnya, proses masuk/pendaftaran dapat disesuaikan lebih lanjut melalui pendelegasian. Delegasi memungkinkan Anda menggunakan situs web yang ada untuk menangani masuk/mendaftar pengembang dan berlangganan produk, sebagai lawan menggunakan fungsionalitas bawaan di portal pengembang. Ini memungkinkan situs web Anda untuk memiliki data pengguna dan melakukan validasi langkah-langkah ini dalam cara kustom.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyar untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Informasi Masuk Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Siapkan integrasi API Management dengan Azure Key Vault. Pastikan bahwa rahasia untuk API Management (Nilai bernama) disimpan Key Vault Azure sehingga dapat diakses dan diperbarui dengan aman.
Referensi: Gunakan nilai bernama dalam kebijakan Azure API Management dengan Integrasi Key Vault
Pemantauan Microsoft Defender untuk Cloud
Azure Policy definisi bawaan - Microsoft.ApiManagement:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | Untuk mencegah rahasia layanan dibagikan dengan pengguna baca-saja, versi API minimum harus diatur ke 01-12-2019 atau yang lebih baru. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Jika tidak diperlukan untuk operasi administratif rutin, nonaktifkan atau batasi akun admin lokal apa pun hanya untuk penggunaan darurat.
Catatan: API Management memungkinkan pembuatan akun pengguna lokal. Alih-alih membuat akun lokal ini, aktifkan autentikasi Azure Active Directory (Azure AD) saja, dan tetapkan izin ke akun Azure AD ini.
Referensi: Cara mengelola akun pengguna di Azure API Management
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol akses ke Azure API Management. Azure API Management mengandalkan kontrol akses berbasis peran Azure untuk mengaktifkan manajemen akses yang cermat untuk entitas dan layanan API Management (misalnya, API dan kebijakan).
Referensi: Cara menggunakan Role-Based Access Control di Azure API Management
Pemantauan Microsoft Defender untuk Cloud
Azure Policy definisi bawaan - Microsoft.ApiManagement:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| langganan API Management tidak boleh dilingkup ke semua API | API Management langganan harus dilingkup ke produk atau API individual, bukan semua API, yang dapat mengakibatkan paparan data yang berlebihan. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mengelola protokol dan cipher di Azure API Management
Panduan lain untuk DP-3
Panggilan bidang manajemen dilakukan melalui Azure Resource Manager melalui TLS. Token web JSON (JWT) yang valid diperlukan. Panggilan bidang data dapat diamankan dengan TLS dan salah satu mekanisme autentikasi yang didukung (misalnya, sertifikat klien atau JWT).
Pemantauan Microsoft Defender untuk Cloud
Azure Policy definisi bawaan - Microsoft.ApiManagement:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| API Management API hanya boleh menggunakan protokol terenkripsi | Untuk memastikan keamanan data saat transit, API hanya boleh tersedia melalui protokol terenkripsi, seperti HTTPS atau WSS. Hindari menggunakan protokol yang tidak aman, seperti HTTP atau WS. | Audit, Dinonaktifkan, Tolak | 2.0.2 |
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Data pelanggan dalam instans API Management, termasuk pengaturan API, produk, langganan, pengguna, grup, dan konten portal pengembang kustom, disimpan dalam database SQL Azure dan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Siapkan integrasi API Management dengan Azure Key Vault. Pastikan bahwa kunci yang digunakan oleh API Management disimpan Key Vault Azure sehingga dapat diakses dan diperbarui dengan aman.
Referensi: Prasyarat untuk integrasi brankas kunci
Pemantauan Microsoft Defender untuk Cloud
Azure Policy definisi bawaan - Microsoft.ApiManagement:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| API Management nilai bernama rahasia harus disimpan di Azure Key Vault | Nilai bernama adalah kumpulan pasangan nama dan nilai di setiap layanan API Management. Nilai rahasia dapat disimpan baik sebagai teks terenkripsi dalam API Management (rahasia kustom) atau dengan mereferensikan rahasia di Azure Key Vault. Untuk meningkatkan keamanan API Management dan rahasia, referensikan nilai bernama rahasia dari Azure Key Vault. Azure Key Vault mendukung manajemen akses terperinci dan kebijakan rotasi rahasia. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Siapkan integrasi API Management dengan Azure Key Vault. Pastikan bahwa rahasia untuk API Management (Nilai bernama) disimpan Key Vault Azure sehingga dapat diakses dan diperbarui dengan aman.
Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan penghapusan menyeluruh sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan mereka masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Referensi: Mengamankan layanan backend menggunakan autentikasi sertifikat klien di Azure API Management
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Policy bawaan untuk memantau dan menerapkan konfigurasi aman di seluruh sumber daya API Management. Gunakan alias Azure Policy di namespace "Microsoft.ApiManagement" untuk membuat definisi Azure Policy kustom jika diperlukan.
Referensi: Azure Policy definisi kebijakan bawaan untuk Azure API Management
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Defender untuk API, kemampuan Microsoft Defender untuk Cloud, menawarkan perlindungan siklus hidup penuh, deteksi, dan cakupan respons untuk API yang dikelola di Azure API Management.
Onboarding API ke Defender untuk API adalah proses dua langkah: mengaktifkan paket Defender untuk API untuk langganan, dan onboarding API yang tidak terlindungi di instans API Management Anda.
Lihat ringkasan semua rekomendasi dan pemberitahuan keamanan untuk API onboarding dengan memilih Microsoft Defender untuk Cloud di menu untuk instans API Management Anda.
Referensi: Mengaktifkan fitur keamanan API tingkat lanjut menggunakan Microsoft Defender untuk Cloud
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk API Management, log sumber daya memberikan informasi kaya tentang operasi dan kesalahan yang penting untuk tujuan audit dan pemecahan masalah. Kategori log sumber daya untuk API Management meliputi:
- GatewayLogs
- WebSocketConnectionLogs
Referensi: Log Sumber Daya APIM
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Panduan Tambahan: Manfaatkan kemampuan pencadangan dan pemulihan di layanan Azure API Management. Saat memanfaatkan kemampuan pencadangan, Azure API Management menulis cadangan ke akun Azure Storage milik pelanggan. Operasi pencadangan dan pemulihan disediakan oleh Azure API Management untuk melakukan pencadangan dan pemulihan sistem penuh.
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure