Definizioni di criteri predefiniti di Criteri di Azure per Gestione API di Azure
SI APPLICA A: Tutti i livelli di Gestione API
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Gestione API di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure. Se si cercano criteri che è possibile usare per modificare il comportamento dell'API in Gestione API, vedere informazioni di riferimento sui criteri di Gestione API.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Gestione API di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il servizio Gestione API deve essere con ridondanza della zona | Il servizio Gestione API può essere configurato in modo da essere con ridondanza della zona o meno. Un servizio Gestione API è ridondante della zona se il nome sku è "Premium" e contiene almeno due voci nella matrice di zone. Questo criterio identifica i servizi gestione API privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.1-preview |
| Gli endpoint API in API Management di Azure devono essere autenticati | Gli endpoint API pubblicati in Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio API Management di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma che potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists, Disabled | 1.0.1 |
| Le API Management API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| API Management le chiamate ai back-end dell'API devono essere autenticate | Le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Le chiamate di API Management ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato | Per migliorare la sicurezza dell'API, Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Audit, Disabled, Deny | 1.0.2 |
| API Management endpoint API Management diretto non deve essere abilitato | L'API REST di gestione diretta in Gestione API di Azure ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio. | Audit, Disabled, Deny | 1.0.2 |
| API Management versione API minima deve essere impostata su 2019-12-01 o versione successiva | Per evitare che i segreti del servizio vengano condivisi con utenti di sola lettura, la versione API minima deve essere impostata su 2019-12-01 o versione successiva. | Audit, Deny, Disabled | 1.0.1 |
| I valori denominati del segreto di API Management devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati del segreto da Azure Key Vault. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti. | Audit, Disabled, Deny | 1.0.2 |
| Il servizio Gestione API deve usare uno SKU che supporta le reti virtuali | Con gli SKU supportati di Gestione API, la distribuzione del servizio in una rete virtuale abilita funzionalità avanzate di sicurezza e di rete di Gestione API che offrono un maggiore controllo sulla configurazione della sicurezza della rete. Per altre informazioni, vedere https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists, Disabled | 1.0.1 |
| Gestione API deve avere l'autenticazione con nome utente e password disabilitata | Per proteggere meglio il portale per sviluppatori, l'autenticazione del nome utente e della password in Gestione API deve essere disabilitata. Configurare l'autenticazione utente tramite i provider di identità di Azure AD o Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Audit, Disabled | 1.0.1 |
| Le sottoscrizioni di API Management non devono essere con ambito per tutte le API | Le sottoscrizioni di Gestione API devono essere incluse nell'ambito di un prodotto o di una singola API anziché di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Audit, Disabled, Deny | 1.1.0 |
| La versione della piattaforma Azure API Management deve essere stv2 | La versione della piattaforma di calcolo stv1 di Gestione API di Azure verrà ritirata il 31 agosto 2024 ed è necessario eseguire la migrazione di queste istanze alla piattaforma di calcolo stv2 per un supporto continuo. Per altre informazioni: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| Configurare i servizi gestione API per disabilitare l'accesso agli endpoint di configurazione del servizio pubblico di Gestione API | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | DeployIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Modificare Gestione API per disabilitare l'autenticazione con nome utente e password | Per proteggere meglio gli account utente del portale per sviluppatori e le relative credenziali, configurare l'autenticazione utente tramite Azure AD o i provider di identità di Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Modifica | 1.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.