Baseline di sicurezza di Azure per Gestione API
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a Gestione API. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle Gestione API.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili alle Gestione API sono state escluse. Per informazioni su come Gestione API mappa completamente al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza Gestione API.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Gestione API, che potrebbero comportare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | Web |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia il contenuto del cliente inattivo | Falso |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida sulla configurazione: distribuire Gestione API di Azure all'interno di una rete virtuale di Azure Rete virtuale, in modo che possa accedere ai servizi back-end all'interno della rete. Il portale per sviluppatori e il gateway di Gestione API possono essere configurati in modo che siano accessibili da Internet (esterno) o solo nell'ambito della VNET (interno).
- Esterno: il gateway di Gestione API e il portale per gli sviluppatori sono accessibili dalla rete internet pubblica tramite un servizio di bilanciamento del carico esterno. Il gateway può accedere alle risorse all'interno della rete virtuale.
- Interno: il gateway di Gestione API e il portale per sviluppatori sono accessibili soltanto dalla rete virtuale, tramite un servizio di bilanciamento del carico interno. Il gateway può accedere alle risorse all'interno della rete virtuale.
Informazioni di riferimento: usare una rete virtuale con Azure Gestione API
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: distribuire gruppi di sicurezza di rete (NSG) nelle subnet di Gestione API per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Attenzione: Quando si configura un NSG nella subnet di Gestione API è necessario aprire un set di porte. Se una qualsiasi di queste porte non è disponibile, Gestione API potrebbe non funzionare correttamente e potrebbe diventare inaccessibile.
Nota: Configurare le regole del gruppo di sicurezza di rete per Gestione API
Riferimento: Informazionidi riferimento sulla configurazione della rete virtuale: Gestione API
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: nelle istanze in cui non è possibile distribuire istanze di Gestione API in una rete virtuale, è consigliabile distribuire un endpoint privato per stabilire un punto di accesso privato per tali risorse.
Nota: per abilitare gli endpoint privati, l'istanza di Gestione API non può essere già configurata con una rete virtuale esterna o interna. Una connessione endpoint privato supporta solo il traffico in ingresso all'istanza di Gestione API.
Riferimento: Connettersi privatamente a Gestione API usando un endpoint privato
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ip ACL nei gruppi di sicurezza di rete assegnati alle subnet del servizio o un commutatore di attivazione per l'accesso alla rete pubblica.
Nota: Gestione API supporta le distribuzioni in una rete virtuale, oltre a bloccare le distribuzioni non basate su rete con un endpoint privato e disabilitando l'accesso alla rete pubblica.
Riferimento: Disabilitare l'accesso alla rete pubblica
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ApiManagement:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di inserire il servizio Gestione API in una rete non internet instradabile a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
Sicurezza di rete 6: Distribuire Web application firewall
Altre indicazioni per NS-6
Per proteggere le API Web/HTTP critiche, configurare Gestione API all'interno di una Rete virtuale (rete virtuale) in modalità interna e configurare un gateway applicazione di Azure. Il gateway applicazione è un servizio PaaS. Funge da proxy inverso e fornisce bilanciamento del carico, routing, web application firewall (WAF) e altri servizi del protocollo L7. Altre informazioni
La combinazione di Gestione API in una rete virtuale interna con il gateway applicazione come front-end consente gli scenari seguenti:
- uso di un'unica risorsa di Gestione API per l'esposizione di tutte le API sia agli utenti interni che a quelli esterni;
- uso di un'unica risorsa di Gestione API per l'esposizione di un subset di API agli utenti esterni;
- predisposizione di un modo per attivare e disattivare l'accesso a Gestione API dalla rete Internet pubblica.
Gestione delle identità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per Gestione API, se possibile.
- Configurare il portale per sviluppatori di Azure Gestione API per autenticare gli account sviluppatore usando Azure AD.
- Configurare l'istanza di Azure Gestione API per proteggere le API usando il protocollo OAuth 2.0 con Azure AD.
Riferimento: Proteggere un'API in Azure Gestione API usando l'autorizzazione OAuth 2.0 con Azure Active Directory
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.
Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locali per l'accesso al piano dati, mantenere l'inventario degli account utente Gestione API e riconciliare l'accesso in base alle esigenze. In Gestione API gli sviluppatori sono i consumatori delle API esposte con Gestione API. Per impostazione predefinita, i nuovi account sviluppatore creati sono attivi e associati al gruppo Sviluppatori. Gli account sviluppatore con stato attivo possono essere usati per accedere a tutte le API per cui dispongono di sottoscrizioni.
Inoltre, le sottoscrizioni di Azure Gestione API sono uno dei mezzi per proteggere l'accesso alle API e sono disponibili una coppia di chiavi di sottoscrizione generate che supportano la rotazione.
Anziché usare altri metodi di autenticazione, se possibile usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: Eseguire l'autenticazione con Basic
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare un'identità del servizio gestita generata da Azure Active Directory (Azure AD) per consentire all'istanza di Gestione API di accedere facilmente e in modo sicuro ad altre risorse protette da Azure AD, ad esempio Azure Key Vault anziché usare entità servizio. Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Riferimento: Eseguire l'autenticazione con l'identità gestita
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
IM-5: usare il Single Sign-On (SSO) per l'accesso alle applicazioni
Altre indicazioni per l'messaggistica istantanea-5
Azure Gestione API può essere configurato per sfruttare Azure Active Directory (Azure AD) come provider di identità per autenticare gli utenti nel portale per sviluppatori per trarre vantaggio dalle funzionalità SSO offerte da Azure AD. Una volta configurata, i nuovi utenti del portale per sviluppatori possono scegliere di seguire il processo di iscrizione predefinito eseguendo prima l'autenticazione tramite Azure AD e quindi completando il processo di iscrizione nel portale dopo l'autenticazione.
In alternativa, è possibile personalizzare ulteriormente il processo di accesso/iscrizione tramite la delega. La delega consente di usare il sito Web esistente per gestire l'accesso e l'iscrizione degli sviluppatori e la sottoscrizione ai prodotti invece di usare la funzionalità incorporata nel portale per sviluppatori. Ciò consente al sito Web di avere la proprietà dei dati utente e di eseguire la convalida di questi passaggi in modo personalizzato.
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: configurare l'integrazione di Gestione API con Azure Key Vault. Assicurarsi che i segreti per Gestione API (valori denominati) siano archiviati in Azure Key Vault in modo che possano essere accessibili e aggiornati in modo sicuro.
Riferimento: Usare valori denominati nei criteri di Azure Gestione API con integrazione di Key Vault
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ApiManagement:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Gestione API versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva | Per evitare che i segreti del servizio vengano condivisi con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva. | Audit, Deny, Disabled | 1.0.1 |
Accesso con privilegi
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account Amministrazione locali
Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: evitare l'utilizzo di account o metodi di autenticazione locali, è consigliabile disabilitare laddove possibile. Usare invece Azure AD per l'autenticazione laddove possibile.
Indicazioni sulla configurazione: se non è necessario per le operazioni amministrative di routine, disabilitare o limitare gli account amministratore locali solo per l'uso di emergenza.
Nota: Gestione API consente la creazione di un account utente locale. Anziché creare questi account locali, abilitare solo l'autenticazione di Azure Active Directory (Azure AD) e assegnare le autorizzazioni a questi account Azure AD.
Riferimento: Come gestire gli account utente in Azure Gestione API
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: Il Role-Based Controllo di accesso controllo degli accessi in base al ruolo di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso ad Azure Gestione API. Gestione API di Azure si basa sul controllo degli accessi in base al ruolo di Azure per abilitare la gestione degli accessi con granularità fine per i servizi e le entità di Gestione API, ad esempio API e criteri.
Informazioni di riferimento: Come usare Role-Based Controllo di accesso in Azure Gestione API
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ApiManagement:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Gestione API le sottoscrizioni non devono essere con ambito per tutte le API | Gestione API le sottoscrizioni devono avere come ambito un prodotto o una singola API anziché tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Audit, Disabled, Deny | 1.1.0 |
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Protezione dei dati
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili
Funzionalità
Perdita di dati/Prevenzione della perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: Gestire protocolli e crittografia in Azure Gestione API
Altre indicazioni per DP-3
Le chiamate del piano di gestione vengono eseguite tramite Azure Resource Manager tramite TLS. È necessario un token JSON Web (JWT) valido. Le chiamate del piano dati possono essere protette con TLS e uno dei meccanismi di autenticazione supportati (ad esempio, il certificato client o JWT).
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ApiManagement:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Gestione API API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Dati inattivi crittografia tramite chiavi della piattaforma
Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: i dati del cliente in un'istanza di Gestione API, inclusi le impostazioni API, i prodotti, le sottoscrizioni, i gruppi e il contenuto del portale per sviluppatori personalizzati, vengono archiviati in un database SQL Azure e in Archiviazione di Azure, che crittografa automaticamente il contenuto inattivo.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: configurare l'integrazione di Gestione API con Azure Key Vault. Assicurarsi che le chiavi usate da Gestione API siano archiviate in un'istanza di Azure Key Vault in modo che possano essere accessibili e aggiornate in modo sicuro.
Riferimento: Prerequisiti per l'integrazione dell'insieme di credenziali delle chiavi
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ApiManagement:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| Gestione API i valori denominati segreti devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti denominati da Azure Key Vault. Azure Key Vault supporta criteri di gestione e rotazione dei segreti di accesso granulari. | Audit, Disabled, Deny | 1.0.2 |
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: configurare l'integrazione di Gestione API con Azure Key Vault. Assicurarsi che i segreti per Gestione API (valori denominati) siano archiviati in Azure Key Vault in modo che possano essere accessibili e aggiornati in modo sicuro.
Usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui la creazione, l'importazione, la rotazione, la revoca, l'archiviazione e l'eliminazione del certificato. Assicurarsi che la generazione del certificato sia conforme agli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e l'applicazione.
Riferimento: Proteggere i servizi back-end usando l'autenticazione del certificato client in Azure Gestione API
Gestione degli asset
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Criteri di Azure predefinite per monitorare e applicare la configurazione sicura tra le risorse Gestione API. Usare gli alias di Criteri di Azure nello spazio dei nomi "Microsoft.ApiManagement" per creare definizioni personalizzate di Criteri di Azure dove necessario.
Riferimento: Criteri di Azure definizioni di criteri predefinite per Azure Gestione API
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: Defender per le API, una funzionalità di Microsoft Defender for Cloud, offre la protezione completa del ciclo di vita, il rilevamento e la copertura delle risposte per le API gestite in Azure Gestione API.
L'onboarding delle API in Defender per le API è un processo in due passaggi: abilitazione del piano di Defender per le API per la sottoscrizione e onboarding di API non protette nelle istanze di Gestione API.
Visualizzare un riepilogo di tutte le raccomandazioni e gli avvisi di sicurezza per le API di cui è stato eseguito l'onboarding selezionando Microsoft Defender for Cloud nel menu per l'istanza di Gestione API.
Informazioni di riferimento: Abilitare le funzionalità avanzate di sicurezza delle API usando Microsoft Defender per cloud
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: abilitare i log delle risorse per Gestione API, i log delle risorse forniscono informazioni dettagliate sulle operazioni e sugli errori importanti per scopi di controllo e risoluzione dei problemi. Le categorie di log delle risorse per Gestione API includono:
- GatewayLogs
- WebSocketConnectionLogs
Informazioni di riferimento: Log delle risorse di Gestione API
Backup e ripristino
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Indicazioni aggiuntive: sfruttare le funzionalità di backup e ripristino nel servizio Azure Gestione API. Quando si sfruttano le funzionalità di backup, Azure Gestione API scrive i backup negli account di archiviazione di Azure di proprietà del cliente. Le operazioni di backup e ripristino vengono fornite da Azure Gestione API per eseguire il backup e il ripristino completi del sistema.
Riferimento: Come implementare il ripristino di emergenza usando il backup e il ripristino del servizio in Azure Gestione API
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure