API Management Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0의 지침을 API Management 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 API Management 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
API Management 적용할 수 없는 기능이 제외되었습니다. API Management Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 API Management 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 API Management 영향이 큰 동작이 요약되어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 웹 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 미사용 고객 콘텐츠 저장 | False |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 네트워크 내의 백 엔드 서비스에 액세스할 수 있도록 Azure Virtual Network(VNET) 내에 Azure API Management 배포합니다. 개발자 포털 및 API Management 게이트웨이를 인터넷(외부)에서 또는 Vnet(내부) 내에서만 액세스할 수 있도록 구성할 수 있습니다.
- 외부: 외부 부하 분산 장치를 통해 퍼블릭 인터넷에서 API Management 게이트웨이 및 개발자 포털에 액세스할 수 있습니다. 게이트웨이에서 가상 네트워크 내의 리소스에 액세스할 수 있습니다.
- 내부: 내부 부하 분산 장치를 통해 가상 네트워크 내에서만 API Management 게이트웨이 및 개발자 포털에 액세스할 수 있습니다. 게이트웨이에서 가상 네트워크 내의 리소스에 액세스할 수 있습니다.
참조: Azure API Management 가상 네트워크 사용
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링하기 위해 API Management 서브넷에 NSG(네트워크 보안 그룹)를 배포합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본값으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽은 허용합니다.
주의: API Management 서브넷에서 NSG를 구성하는 경우 열려 있어야 하는 포트 세트가 있습니다. 이러한 포트를 사용할 수 없는 경우 API Management가 정상적으로 작동하지 않고 액세스하지 못하게 될 수 있습니다.
참고: API Management 대한 NSG 규칙 구성
참조: 가상 네트워크 구성 참조: API Management
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 가상 네트워크에 API Management 인스턴스를 배포할 수 없는 경우 프라이빗 엔드포인트를 배포하여 해당 리소스에 대한 프라이빗 액세스 지점을 설정해야 합니다.
참고: 프라이빗 엔드포인트를 사용하도록 설정하기 위해 외부 또는 내부 가상 네트워크로 API Management instance 구성할 수 없습니다. 프라이빗 엔드포인트 연결은 API Management 인스턴스로 들어오는 트래픽만 지원합니다.
참조: 프라이빗 엔드포인트를 사용하여 API Management 비공개로 연결
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 서비스의 서브넷에 할당된 NSG에서 IP ACL 필터링 규칙을 사용하거나 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참고: API Management 가상 네트워크에 대한 배포를 지원하고 프라이빗 엔드포인트를 사용하여 비 네트워크 기반 배포를 잠그고 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
NS-6: 웹 애플리케이션 방화벽 배포
NS-6에 대한 기타 지침
중요한 웹/HTTP API를 보호하려면 내부 모드에서 VNET(Virtual Network) 내에서 API Management 구성하고 Azure Application Gateway 구성합니다. Application Gateway는 PaaS 서비스입니다. 역방향 프록시로 작동하며, L7 부하 분산, 라우팅, WAF(웹 애플리케이션 방화벽) 및 기타 서비스를 제공합니다. 자세히 알아보세요.
내부 VNET에서 프로비전된 API Management와 Application Gateway 프런트 엔드를 결합하면 다음 시나리오가 가능합니다.
- 단일 API Management 리소스를 사용하여 모든 API를 내부 및 외부 소비자 모두에 공개합니다.
- 단일 API Management 리소스를 사용하여 API의 하위 세트를 외부 소비자에 공개합니다.
- 퍼블릭 인터넷에서 API Management로의 액세스를 설정하고 해제하는 방법을 제공합니다.
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증을 사용할 수 있도록 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 가능한 경우 API Management 기본 인증 방법으로 Azure Active Directory(Azure AD)를 사용합니다.
- Azure AD를 사용하여 개발자 계정을 인증하도록 Azure API Management 개발자 포털을 구성합니다.
- Azure AD에서 OAuth 2.0 프로토콜을 사용하여 API를 보호하도록 Azure API Management 인스턴스를 구성합니다.
참조: Azure Active Directory에서 OAuth 2.0 권한 부여를 사용하여 Azure API Management API 보호
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 로컬 인증 방법 또는 계정의 사용을 방지하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 데이터 평면 액세스에 로컬 인증 방법 사용을 제한하고, API Management 사용자 계정의 인벤토리를 유지하고, 필요에 따라 액세스를 조정합니다. API Management에서 개발자는 API Management에 공개된 API의 소비자입니다. 기본적으로 새로 만든 개발자 계정은 활성 상태이며, 개발자 그룹과 연결됩니다. 활성 상태의 개발자 계정은 구독을 사용하는 모든 API에 액세스하는 데 사용할 수 있습니다.
또한 Azure API Management 구독은 API에 대한 액세스를 보호하는 한 가지 수단이며 회전을 지원하는 생성된 구독 키 쌍과 함께 제공됩니다.
가능한 경우 다른 인증 방법을 사용하는 대신 Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.
참조: 기본으로 인증
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure AD(Azure Active Directory)에서 생성된 관리 서비스 ID를 사용하여 API Management instance 서비스 주체를 사용하는 대신 Azure Key Vault 같은 다른 Azure AD 보호된 리소스에 쉽고 안전하게 액세스할 수 있도록 합니다. 관리 ID 자격 증명은 플랫폼에서 완전히 관리, 순환 및 보호되므로 소스 코드 또는 구성 파일에 하드 코딩된 자격 증명을 방지합니다.
참조: 관리 ID로 인증
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
IM-5: 애플리케이션 액세스에 SSO(Single Sign-On) 사용
IM-5에 대한 기타 지침
Azure AD 제공하는 SSO 기능을 활용하기 위해 개발자 포털에서 사용자를 인증하기 위한 ID 공급자로 Azure Active Directory(Azure AD)를 활용하도록 Azure API Management 구성할 수 있습니다. 일단 구성되면 새 개발자 포털 사용자는 먼저 Azure AD를 통해 인증한 다음, 인증이 완료된 포털에서 가입 프로세스를 완료하여 기본 가입 프로세스를 따르도록 선택할 수 있습니다.
또는 위임을 통해 로그인/가입 프로세스를 추가로 사용자 지정할 수 있습니다. 위임을 사용하면 개발자 포털에서 기본 제공 기능을 사용하는 대신 기존 웹 사이트를 사용하여 개발자 로그인/가입 및 제품 구독을 처리할 수 있습니다. 이렇게 하면 웹 사이트에서 사용자 데이터를 소유하고 이러한 단계의 유효성 검사를 사용자 지정 방식으로 수행 할 수 있습니다.
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: 데이터 평면 액세스는 Azure AD 조건부 액세스 정책을 사용하여 제어할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Key Vault API Management 통합을 설정합니다. API Management의 비밀(명명된 값)이 Azure Key Vault에 저장되어 안전하게 액세스 및 업데이트될 수 있도록 합니다.
참조: Key Vault Integration에서 Azure API Management 정책에서 명명된 값 사용
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management 최소 API 버전은 2019-12-01 이상으로 설정해야 함 | 서비스 비밀이 읽기 전용 사용자와 공유되는 것을 방지하려면 최소 API 버전을 2019-12-01 이상으로 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한
기능
로컬 관리 계정
설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 참고 사항: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 일상적인 관리 작업에 필요하지 않은 경우 긴급 사용에 대해서만 로컬 관리자 계정을 사용하지 않도록 설정하거나 제한합니다.
참고: API Management 로컬 사용자 계정을 만들 수 있습니다. 이러한 로컬 계정을 만드는 대신 Azure Active Directory(Azure AD) 인증만 사용하도록 설정하고 이러한 Azure AD 계정에 권한을 할당합니다.
참조: Azure API Management 사용자 계정을 관리하는 방법
PA-7: 충분한 관리 수행(최소 권한) 원칙
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 Azure API Management 대한 액세스를 제어합니다. Azure API Management는 Azure 역할 기반 액세스 제어를 사용하여 API Management 서비스 및 엔터티(예: API 및 정책)에 대한 세분화된 액세스 관리를 가능하게 합니다.
참조: Azure API Management Role-Based Access Control 사용하는 방법
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management 구독은 모든 API로 지정하면 안 됨 | API Management 구독의 범위는 과도한 데이터 노출을 초래할 수 있는 모든 API가 아닌 제품 또는 개별 API로 지정해야 합니다. | 감사, 사용 안 함, 거부 | 1.1.0 |
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 유출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure API Management 프로토콜 및 암호화 관리
DP-3에 대한 기타 지침
관리 평면 호출은 TLS를 통해 Azure Resource Manager 통해 이루어집니다. 유효한 JSON 웹 토큰(JWT)이 필요합니다. 데이터 평면 호출은 TLS 및 지원되는 인증 메커니즘(예: 클라이언트 인증서 또는 JWT) 중 하나를 사용하여 보호할 수 있습니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management API는 암호화된 프로토콜만 사용해야 함 | 전송 중인 데이터의 보안을 보장하려면 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 API를 사용할 수 있어야 합니다. HTTP 또는 WS와 같은 보안되지 않은 프로토콜을 사용하지 마세요. | 감사, 사용 안 함, 거부 | 2.0.2 |
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: API 설정, 제품, 구독, 사용자, 그룹 및 사용자 지정 개발자 포털 콘텐츠를 비롯한 API Management instance 고객 데이터는 SQL Azure 데이터베이스 및 Azure Storage에 저장되어 미사용 콘텐츠를 자동으로 암호화합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Key Vault API Management 통합을 설정합니다. API Management에서 사용하는 키가 Azure Key Vault에 저장되어 안전하게 액세스 및 업데이트될 수 있도록 합니다.
참조: 키 자격 증명 모음 통합을 위한 필수 구성 요소
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ApiManagement:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management 비밀 명명된 값은 Azure Key Vault 저장해야 함 | 명명된 값은 각 API Management 서비스의 이름 및 값 쌍의 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 향상하려면 Azure Key Vault의 비밀로 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault에서 인증 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Key Vault API Management 통합을 설정합니다. API Management의 비밀(명명된 값)이 Azure Key Vault에 저장되어 안전하게 액세스 및 업데이트될 수 있도록 합니다.
Azure Key Vault 사용하여 인증서 만들기, 가져오기, 회전, 해지, 스토리지 및 제거를 포함하여 인증서 수명 주기를 만들고 제어합니다. 인증서 생성이 키 크기 부족, 지나치게 긴 유효 기간, 안전하지 않은 암호화와 같은 안전하지 않은 속성을 사용하지 않고 정의된 표준을 따르는지 확인합니다. 정의된 일정 또는 인증서 만료 시기에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 회전을 설정합니다. 애플리케이션에서 자동 회전이 지원되지 않는 경우 Azure Key Vault 및 애플리케이션에서 수동 메서드를 사용하여 자동 회전이 계속 회전되는지 확인합니다.
참조: Azure API Management 클라이언트 인증서 인증을 사용하여 백 엔드 서비스 보호
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 기본 제공 Azure Policy 사용하여 API Management 리소스에서 보안 구성을 모니터링하고 적용합니다. “Microsoft.ApiManagement” 네임스페이스에서 Azure Policy 별칭을 사용하여 필요한 경우 사용자 지정 Azure Policy 정의를 만듭니다.
참조: Azure API Management 대한 기본 제공 정책 정의 Azure Policy
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 클라우드용 Microsoft Defender 기능인 Defender for API는 Azure API Management 관리되는 API에 대한 전체 수명 주기 보호, 검색 및 응답 범위를 제공합니다.
API용 Defender에 API를 온보딩하는 것은 구독에 대한 Defender for API 계획을 사용하도록 설정하고 API Management 인스턴스에서 보호되지 않는 API를 온보딩하는 2단계 프로세스입니다.
API Management instance 메뉴에서 클라우드용 Microsoft Defender 선택하여 온보딩된 API에 대한 모든 보안 권장 사항 및 경고 요약을 봅니다.
참조: 클라우드용 Microsoft Defender 사용하여 고급 API 보안 기능 사용
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: API Management 리소스 로그를 사용하도록 설정하고, 리소스 로그는 감사 및 문제 해결을 위해 중요한 작업 및 오류에 대한 풍부한 정보를 제공합니다. API Management 리소스 로그 범주는 다음과 같습니다.
- GatewayLogs
- WebSocketConnectionLogs
참조: APIM 리소스 로그
Backup 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 네이티브 백업 기능
설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
추가 지침: Azure API Management 서비스에서 백업 및 복원 기능을 활용합니다. 백업 기능을 활용하는 경우 Azure API Management 고객 소유의 Azure Storage 계정에 백업을 씁니다. 백업 및 복원 작업은 전체 시스템 백업 및 복원을 수행하기 위해 Azure API Management 제공됩니다.
참조: Azure API Management 서비스 백업 및 복원을 사용하여 재해 복구를 구현하는 방법
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.