Lijst met ingebouwde beleidsdefinities van Azure Policy voor Azure API Management
VAN TOEPASSING OP: Alle API Management-lagen
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure API Management. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services. Als u op zoek bent naar beleidsregels die u kunt gebruiken om het API-gedrag in API Management te wijzigen, raadpleegt u de naslaginformatie over API Management-beleid.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure API Management
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: API Management-service moet zone-redundant zijn | API Management-service kan worden geconfigureerd als zone-redundant of niet. Een API Management-service is zoneredundant als de SKU-naam Premium is en ten minste twee vermeldingen in de zonesmatrix bevat. Dit beleid identificeert API Management Services die de redundantie mist die nodig is om bestand te zijn tegen een storing in een zone. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Meer informatie over de OWASP API Threat for Broken User Authentication vindt u hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, uitgeschakeld | 1.0.1 |
API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen voor uw organisatie. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar mogelijk per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
API Management-API's mogen alleen versleutelde protocollen gebruiken | Om de beveiliging van gegevens in transit te waarborgen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. | Controleren, uitgeschakeld, weigeren | 2.0.2 |
API Management-aanroepen naar API-back-ends moeten worden geverifieerd | Aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of dit via certificaten of referenties is. Is niet van toepassing op Service Fabric-back-ends. | Controleren, uitgeschakeld, weigeren | 1.0.1 |
API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan | Om de API-beveiliging te verbeteren, moet API Management het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld | De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service wordt verhoogd. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger | Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezengebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar geheime benoemde waarden uit Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
API Management-service moet een SKU gebruiken die virtuele netwerken ondersteunt | Met ondersteunde SKU's van API Management ontgrendelt het implementeren van de service in een virtueel netwerk geavanceerde API Management-netwerkfuncties en beveiligingsfuncties die u meer controle bieden over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://aka.ms/apimvnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
API Management moet zijn uitgeschakeld voor gebruikersnaam en wachtwoordverificatie | Als u de ontwikkelaarsportal beter wilt beveiligen, moeten gebruikersnaam en wachtwoordverificatie in API Management worden uitgeschakeld. Configureer gebruikersverificatie via Azure AD of Azure AD B2C-id-providers en schakel de standaardgebruikers- en wachtwoordverificatie uit. | Controle, uitgeschakeld | 1.0.1 |
API Management-abonnementen mogen niet worden beperkt tot alle API's | API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Azure API Management-platformversie moet stv2 zijn | De versie van het Azure API Management stv1-rekenplatform wordt vanaf 31 augustus 2024 buiten gebruik gesteld en deze exemplaren moeten worden gemigreerd naar het stv2-rekenplatform voor continue ondersteuning. Meer informatie vindt u op https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
API Management-services configureren om toegang tot configuratie-eindpunten voor openbare API Management-services uit te schakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Log Analytics-werkruimte te routeren voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
API Management wijzigen om gebruikersnaam- en wachtwoordverificatie uit te schakelen | Als u gebruikersaccounts van de ontwikkelaarsportal en hun referenties beter wilt beveiligen, configureert u gebruikersverificatie via Azure AD- of Azure AD B2C-id-providers en schakelt u de standaardgebruikers- en wachtwoordverificatie uit. | Wijzigen | 1.1.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.