API は、クラウドネイティブ アプリへのエントリ ポイントです。 サービス、アプリ、データを接続し、攻撃者のターゲットにします。 API セキュリティ態勢管理は、リスクと構成ミスを評価することで API を保護するのに役立ちます。 Microsoft Defender for Cloud の Defender クラウド セキュリティ態勢管理 (CSPM) プランでは、Azure API Management API の API 態勢とリスク評価が提供されます。 これにより、リスク、推奨事項、攻撃パス分析に関する分析情報が提供されます。
注
アクティブな Defender CSPM プランがある場合、API セキュリティ体制管理では、Azure API Management プラットフォームの API がサポートされます。
機能
Defender for Cloud の API セキュリティ態勢管理によって、次の機能が提供されます。
- マネージド API の可視性を一元化します。 自動的に Defender for Cloud にオンボードすることで、統合インベントリを取得します。
- リスク要因を考慮して、APIのセキュリティ推奨事項を評価します。
- 認証されていない API リスクを特定して修正します。
- 非アクティブまたは休止中の API を検出します。
- インターネットに公開されている API を特定します。
- サンプリングされた API トラフィック ログを分析することで、要求と応答、URL パス、クエリ パラメーター (Microsoft Purview と統合) など、API エンドポイントでの機密データの公開を特定します。
- 仮想マシン、コンテナー、ストレージ、データベースなどのバックエンド環境に API をリンクすることで、クラウド アプリケーションの公開リスクを理解します。
- クラウド セキュリティ エクスプローラーと API 主導の攻撃パス分析を使用して 、API 主導の攻撃パスに対処し、軽減策に優先順位を付けます。
統合インベントリ
Defender for Cloud によって、Azure API Management サービス内で公開された API が継続的に検出されます。 Defender for Cloud 資産インベントリ と API セキュリティ ダッシュボードでは、ポスチャ分析情報を使用してすべての API を表示できます。 これは、API のリスクに効率的に対処するのに役立ちます。
API セキュリティのベスト プラクティスに優先順位を付けて実装する
暗号化の欠如や、認証の破損や脆弱な匿名アクセスなど、リスクの高い問題に対して API を評価してセキュリティで保護します。 非アクティブな API とインターネットに直接公開されている API に関する分析情報を得る。 Defender for Cloud では、潜在的な悪用可能性とビジネスへの影響を考慮して、API リスクをスキャンします。 セキュリティに関する推奨事項は、これらの要因に基づいて優先順位が付けられます。これにより、重要な脆弱性に最初に対処できます。 セキュリティに関する推奨事項 は、これらの要因に基づいて優先順位が付けられます。これにより、重要な脆弱性を最初に修正できます。
機密データを公開する API を分類する
データ公開のソースを含め、API URL パス パラメーター、クエリ パラメーター、要求と応答本文で公開されている機密データを評価することで、データのセキュリティを向上させます。 Microsoft Purview では、カスタムの機密情報の種類と秘密度ラベルを使用して、転送中データのリスクをカバーする一般的な分類を作成できます。
サンプリング
API での機密データの公開は、Defender CSPM プラン内のサンプリング方法を使用して評価されます。 この方法では、コストと時間の両方を節約できます。
API リスクを調べ、修復に優先順位を付ける
攻撃パス分析では、API エンドポイントに対するリスクを特定します。特に、認証されていないアクセスや外部への公開などの複数のセキュリティ分析情報を使用します。 Defender CSPM の クラウド セキュリティ エクスプローラー を使用して、API を仮想マシンやロード バランサーなどのバックエンド コンピューティング環境にリンクすることで、API リスク探索を強化します。 この可視性は、セキュリティ チームが API 攻撃面に迅速に優先順位を付けてそれらを軽減し、潜在的な横移動やデータ流出のリスクに関する分析情報を提供するのに役立ちます。
関連するコンテンツ
- Defender CSPM を使用して API セキュリティ体制を有効にします。
- セキュリティに 関する推奨事項の確認。
- 攻撃パスを特定して修復します。
- Defender for API ワークロード保護を使用して API の脅威を監視します。