API Management 用の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをAPI Managementに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、API Managementに適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
API Managementに適用されない機能は除外されています。 API Managementが Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、完全なAPI Managementセキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、API Managementの影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | Web |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | True |
| 保存中の顧客コンテンツを格納します | False |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure API Managementを Azure Virtual Network (VNET) 内にデプロイして、ネットワーク内のバックエンド サービスにアクセスできるようにします。 開発者ポータルと API Management ゲートウェイは、インターネット (外部) から、または VNet 内 (内部) でのみアクセスできるように構成可能です。
- 外部: API Management のゲートウェイと開発者ポータルには、パブリック インターネットから外部ロード バランサーを使用してアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。
- 内部: API Management のゲートウェイと開発者ポータルには、仮想ネットワークから内部ロード バランサーを使用してアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。
リファレンス: Azure API Managementで仮想ネットワークを使用する
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) をAPI Managementサブネットにデプロイして、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
注意:API Management サブネット上で NSG を構成する場合は、開いておく必要のある一連のポートがあります。 これらのポートのいずれかが利用できない場合、API Management は正しく動作しない可能性があり、アクセス不能になる場合があります。
注: API Managementの NSG 規則を構成する
リファレンス: 仮想ネットワーク構成リファレンス: API Management
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないように)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: API Management インスタンスを仮想ネットワークにデプロイできない場合は、代わりにプライベート エンドポイントをデプロイして、それらのリソースのプライベート アクセス ポイントを確立する必要があります。
注: プライベート エンドポイントを有効にするには、API Management インスタンスを外部または内部の仮想ネットワークで構成することはできません。 プライベート エンドポイント接続は、API Management インスタンスへの受信トラフィックのみをサポートします。
リファレンス: プライベート エンドポイントを使用してAPI Managementにプライベートに接続する
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービスのサブネットに割り当てられている NSG の IP ACL フィルター規則またはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
注: API Managementは、仮想ネットワークへのデプロイをサポートするだけでなく、プライベート エンドポイントを使用してネットワークベース以外のデプロイをロックダウンし、パブリック ネットワーク アクセスを無効にします。
リファレンス: パブリック ネットワーク アクセスを無効にする
Microsoft Defender for Cloud による監視
Azure Policy組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
NS-6: Web アプリケーション ファイアウォールをデプロイする
NS-6 のその他のガイダンス
重要な Web/HTTP API を保護するには、Virtual Network (VNET) 内のAPI Managementを内部モードで構成し、Azure Application Gatewayを構成します。 Application Gateway は PaaS サービスの 1 つです。 リバース プロキシとしての役目を果たし、L7 の負荷分散、ルーティング、Web アプリケーション ファイアウォール (WAF)、およびその他のサービスを提供します。 詳細については、こちらを参照してください。
内部 VNET にプロビジョニング済みの API Management と Application Gateway フロントエンドを組み合わせることにより、次のシナリオが実現されます。
- 内部コンシューマーと外部コンシューマーの両方にすべての API を公開するために 1 つの API Management リソースを使用する。
- 外部コンシューマーに API のサブセットを公開するために 1 つの API Management リソースを使用する。
- パブリック インターネットから API Management へのアクセスのオン/オフを切り替える方法を提供する。
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 可能な場合は、API Managementの既定の認証方法として Azure Active Directory (Azure AD) を使用します。
- Azure AD を使用して開発者アカウントを認証するように Azure API Management 開発者ポータルを構成します。
- Azure AD で OAuth 2.0 プロトコルを使用して API を保護するように Azure API Management インスタンスを構成します。
リファレンス: Azure Active Directory で OAuth 2.0 承認を使用して Azure API Managementの API を保護する
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。
構成ガイダンス: データ プレーン アクセスのローカル認証方法の使用を制限し、API Managementユーザー アカウントのインベントリを維持し、必要に応じてアクセスを調整します。 API Management では、開発者は、API Management を使用して公開された API のコンシューマーになります。 既定では、新しく作成された開発者アカウントは "アクティブ" になり、"開発者" グループに関連付けられます。 アクティブ状態の開発者アカウントを使用すると、サブスクリプションがあるすべての API にアクセスできます。
また、Azure API Management サブスクリプションは API へのアクセスをセキュリティで保護する手段の 1 つであり、ローテーションをサポートする生成されたサブスクリプション キーのペアが付属しています。
他の認証方法を使用する代わりに、可能であれば、データ プレーンアクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。
リファレンス: Basic を使用した認証
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Active Directory (Azure AD) によって生成されたマネージド サービス ID を使用して、API Management インスタンスが、サービス プリンシパルを使用する代わりに、Azure Key Vault などの他の Azure AD で保護されたリソースに簡単かつ安全にアクセスできるようにします。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。
リファレンス: マネージド ID を使用した認証
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。
IM-5: アプリケーション アクセスにシングル サインオン (SSO) を使用する
IM-5 のその他のガイダンス
Azure API Managementは、Azure AD によって提供される SSO 機能の恩恵を受けるために、開発者ポータルでユーザーを認証するための ID プロバイダーとして Azure Active Directory (Azure AD) を利用するように構成できます。 構成が完了すると、新しい開発者ポータル ユーザーは、最初に Azure AD を使用して認証を行い、認証後にポータルでサインアップ プロセスを完了することで、難しい設定の要らないサインアップ プロセスを実行できます。
または、委任を使用してサインイン/サインアップ プロセスをさらにカスタマイズすることもできます。 委任を使用すると、開発者のサインイン/サインアップおよび製品のサブスクリプション処理を、開発者ポータルの組み込みの機能ではなく、お客様の既存の Web サイトを使用して行うことができます。 これにより、お客様の Web サイトでユーザー データを保持し、独自の方法でこれらのステップの検証を実行できます。
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: API Managementと Azure Key Vaultの統合を設定します。 API Management のシークレット (名前付き値) が Azure Key Vault に格納されていることを確かめ、安全にアクセスして更新できるようにします。
リファレンス: Key Vault統合で Azure API Management ポリシーで名前付き値を使用する
Microsoft Defender for Cloud による監視
Azure Policy組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル 管理 アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。
構成ガイダンス: 日常的な管理操作に必要ない場合は、緊急時にのみローカル管理者アカウントを無効または制限します。
注: API Managementでは、ローカル ユーザー アカウントを作成できます。 これらのローカル アカウントを作成する代わりに、Azure Active Directory (Azure AD) 認証のみを有効にして、これらの Azure AD アカウントにアクセス許可を割り当てます。
リファレンス: Azure API Management でユーザー アカウントを管理する方法
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
データ プレーン用の Azure RBAC
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure API Managementへのアクセスを制御します。 Azure API Management では、Azure のロールベースのアクセス制御を使用して、API Management のサービスとエンティティ (API やポリシーなど) に関するきめ細かいアクセス管理を可能にしています。
リファレンス: Azure API Management で Role-Based Access Control を使用する方法
Microsoft Defender for Cloud による監視
Azure Policy組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | Audit, Disabled, Deny | 1.1.0 |
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、各 Microsoft のデータ アクセス要求を承認または拒否します。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスでは、(顧客のコンテンツ内の) 機密データの移動を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure API Management でプロトコルと暗号を管理する
DP-3 のその他のガイダンス
管理プレーン呼び出しは、TLS 経由で Azure Resource Manager によって行われます。 有効な JSON Web トークン (JWT) が必要です。 データ プレーン呼び出しは、TLS と、サポートされる認証メカニズムのいずれか (例: クライアント証明書や JWT など) で保護できます。
Microsoft Defender for Cloud による監視
Azure Policy組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management の API では暗号化されたプロトコルのみを使用する必要がある | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | Audit, Disabled, Deny | 2.0.2 |
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能メモ: API 設定、製品、サブスクリプション、ユーザー、グループ、カスタム開発者ポータル コンテンツなど、API Management インスタンス内の顧客データは、SQL Azure データベースと Azure Storage に格納され、保存時のコンテンツが自動的に暗号化されます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: API Managementと Azure Key Vaultの統合を設定します。 API Management によって使用されるキーが Azure Key Vault に格納されていることを確かめ、安全にアクセスして更新できるようにします。
リファレンス: キー コンテナー統合の前提条件
Microsoft Defender for Cloud による監視
Azure Policy組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: API Managementと Azure Key Vaultの統合を設定します。 API Management のシークレット (名前付き値) が Azure Key Vault に格納されていることを確かめ、安全にアクセスして更新できるようにします。
Azure Key Vaultを使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が過度に長い、安全でない暗号化など、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vaultと Azure サービス (サポートされている場合) で証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。
リファレンス: Azure API Management でクライアント証明書認証を使用してバックエンド サービスをセキュリティで保護する
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 組み込みのAzure Policyを使用して、API Management リソース全体でセキュリティで保護された構成を監視および適用します。 "Microsoft.ApiManagement" 名前空間の Azure Policy エイリアスを使用し、必要に応じてカスタム Azure Policy 定義を作成します。
リファレンス: Azure API Management の組み込みポリシー定義をAzure Policyする
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Defender for API は、クラウド用のMicrosoft Defender機能であり、Azure API Managementで管理されている API の完全なライフサイクル保護、検出、応答カバレッジを提供します。
API の Defender for API へのオンボードは、サブスクリプションに対して Defender for API プランを有効にし、API Management インスタンスで保護されていない API をオンボードする 2 段階のプロセスです。
API Management インスタンスのメニューで [クラウドのMicrosoft Defender] を選択して、オンボードされた API のすべてのセキュリティに関する推奨事項とアラートの概要を表示します。
リファレンス: Microsoft Defender for Cloud を使用して高度な API セキュリティ機能を有効にする
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、サービス固有のメトリックとログ記録を強化できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: API Managementのリソース ログを有効にします。リソース ログは、監査とトラブルシューティングの目的で重要な操作とエラーに関する豊富な情報を提供します。 API Managementのリソース ログのカテゴリは次のとおりです。
- GatewayLogs
- WebSocketConnectionLogs
リファレンス: APIM リソース ログ
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
その他のガイダンス: Azure API Management サービスのバックアップと復元の機能を活用します。 バックアップ機能を利用すると、Azure API Managementは顧客所有の Azure Storage アカウントにバックアップを書き込みます。 バックアップと復元の操作は、システムの完全バックアップと復元を実行するために Azure API Managementによって提供されます。
リファレンス: Azure API Management でサービスのバックアップと復元を使用してディザスター リカバリーを実装する方法
次の手順
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する