Azure-beveiligingsbasislijn voor API Management
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op API Management. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op API Management.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op API Management zijn uitgesloten. Als u wilt zien hoe API Management volledig is toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige API Management toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van API Management, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Web |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Implementeer Azure API Management in een Azure Virtual Network (VNET), zodat het toegang heeft tot back-endservices in het netwerk. De ontwikkelaarsportal en API Management gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet (extern) of alleen binnen het Vnet (intern).
- Extern: de API Management gateway en ontwikkelaarsportal zijn toegankelijk via het openbare internet via een externe load balancer. De gateway heeft toegang tot resources in het virtuele netwerk.
- Intern: de API Management gateway en ontwikkelaarsportal zijn alleen toegankelijk vanuit het virtuele netwerk via een interne load balancer. De gateway heeft toegang tot resources in het virtuele netwerk.
Naslaginformatie: Een virtueel netwerk gebruiken met Azure API Management
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Implementeer netwerkbeveiligingsgroepen (NSG's) in uw API Management-subnetten om verkeer te beperken of te bewaken via poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.
Let op: bij het configureren van een NSG op het API Management subnet moet er een set poorten zijn geopend. Als een van deze poorten niet beschikbaar is, werkt API Management mogelijk niet goed en is het mogelijk niet meer toegankelijk.
Opmerking: NSG-regels configureren voor API Management
Naslaginformatie over configuratie van virtueel netwerk: API Management
NS-2: Cloudservices beveiligen met netwerkbesturing
Functies
Azure Private Link
Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In gevallen waarin u API Management exemplaren niet kunt implementeren in een virtueel netwerk, moet u in plaats daarvan een privé-eindpunt implementeren om een privétoegangspunt voor deze resources tot stand te brengen.
Opmerking: als u privé-eindpunten wilt inschakelen, kan het API Management-exemplaar nog niet worden geconfigureerd met een extern of intern virtueel netwerk. Een privé-eindpuntverbinding ondersteunt alleen binnenkomend verkeer naar het API Management-exemplaar.
Naslaginformatie: Privé verbinding maken met API Management met behulp van een privé-eindpunt
Openbare netwerktoegang uitschakelen
Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de IP-ACL-filterregel op de NSG's die zijn toegewezen aan de subnetten van de service of een schakeloptie voor openbare netwerktoegang.
Opmerking: API Management ondersteunt implementaties in een virtueel netwerk, evenals het vergrendelen van niet-netwerkimplementaties met een privé-eindpunt en het uitschakelen van openbare netwerktoegang.
Naslaginformatie: Openbare netwerktoegang uitschakelen
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ApiManagement:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging en isolatie en stelt u in staat om uw API Management-service in een routeerbaar netwerk zonder internet te plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waardoor u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
NS-6: Web Application Firewall implementeren
Andere richtlijnen voor NS-6
Als u essentiële web-/HTTP-API's wilt beveiligen, configureert u API Management in een Virtual Network (VNET) in de interne modus en configureert u een Azure Application Gateway. Application Gateway is een PaaS-service. Het fungeert als een omgekeerde proxy en biedt L7-taakverdeling, routering, Web Application Firewall (WAF) en andere services. Meer informatie.
Als u API Management die in een intern VNET is ingericht, combineert met de Application Gateway front-end, worden de volgende scenario's mogelijk:
- Gebruik één API Management resource om alle API's beschikbaar te maken voor zowel interne als externe consumenten.
- Gebruik één API Management resource voor het beschikbaar maken van een subset van API's voor externe consumenten.
- Een manier bieden om de toegang tot API Management van het openbare internet in of uit te schakelen.
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik waar mogelijk Azure Active Directory (Azure AD) als de standaardverificatiemethode voor API Management.
- Configureer uw Azure API Management Developer Portal om ontwikkelaarsaccounts te verifiëren met behulp van Azure AD.
- Configureer uw Azure API Management-exemplaar om uw API's te beveiligen met behulp van het OAuth 2.0-protocol met Azure AD.
Naslaginformatie: Een API beveiligen in Azure API Management met behulp van OAuth 2.0-autorisatie met Azure Active Directory
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.
Configuratierichtlijnen: Beperk het gebruik van lokale verificatiemethoden voor toegang op het gegevensvlak, onderhoud de inventaris van API Management gebruikersaccounts en stem de toegang zo nodig af. In API Management zijn ontwikkelaars de gebruikers van de API's die worden weergegeven met API Management. Nieuw gemaakte ontwikkelaarsaccounts zijn standaard Actief en gekoppeld aan de groep Ontwikkelaars. Ontwikkelaarsaccounts die een actieve status hebben, kunnen worden gebruikt voor toegang tot alle API's waarvoor ze abonnementen hebben.
Azure API Management-abonnementen zijn ook een van de manieren om de toegang tot API's te beveiligen en worden geleverd met een paar gegenereerde abonnementssleutels die rotatie ondersteunen.
In plaats van andere verificatiemethoden te gebruiken, gebruikt u waar mogelijk Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Verifiëren met Basic
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik een Managed Service Identity die is gegenereerd door Azure Active Directory (Azure AD) om uw API Management-exemplaar eenvoudig en veilig toegang te geven tot andere Azure AD beveiligde resources, zoals Azure Key Vault in plaats van service-principals te gebruiken. Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Naslaginformatie: Verifiëren met beheerde identiteit
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
IM-5: Eenmalige aanmelding (SSO) gebruiken voor toegang tot toepassingen
Andere richtlijnen voor IM-5
Azure API Management kan worden geconfigureerd om gebruik te maken van Azure Active Directory (Azure AD) als id-provider voor het verifiëren van gebruikers in de ontwikkelaarsportal om te profiteren van de mogelijkheden voor eenmalige aanmelding die Azure AD biedt. Zodra de configuratie is voltooid, kunnen nieuwe gebruikers van de ontwikkelaarsportal ervoor kiezen om het out-of-the-box registratieproces te volgen door eerst Azure AD te verifiëren en vervolgens het registratieproces in de portal te voltooien zodra deze is geverifieerd.
Het aanmeldings-/registratieproces kan ook verder worden aangepast via delegatie. Met delegatie kunt u uw bestaande website gebruiken voor het afhandelen van aanmeldingen/registraties voor ontwikkelaars en abonnementen op producten, in plaats van het gebruik van de ingebouwde functionaliteit in de ontwikkelaarsportal. Hiermee kan uw website eigenaar zijn van de gebruikersgegevens en de validatie van deze stappen op een aangepaste manier uitvoeren.
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat geheimen voor API Management (benoemde waarden) worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.
Naslaginformatie: Benoemde waarden gebruiken in Azure API Management-beleid met Key Vault-integratie
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ApiManagement:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management minimale API-versie moet worden ingesteld op 2019-12-01 of hoger | Als u wilt voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Bevoegde toegang
Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: als dit niet vereist is voor routinebeheerbewerkingen, schakelt u alle lokale beheerdersaccounts uit of beperkt u deze alleen voor noodgebruik.
Opmerking: API Management staat het maken van een lokaal gebruikersaccount toe. In plaats van deze lokale accounts te maken, schakelt u alleen Azure Active Directory-verificatie (Azure AD) in en wijst u machtigingen toe aan deze Azure AD accounts.
Naslaginformatie: Gebruikersaccounts beheren in Azure API Management
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken voor het beheren van de toegang tot Azure API Management. Azure API Management is afhankelijk van op rollen gebaseerd toegangsbeheer van Azure om gedetailleerd toegangsbeheer mogelijk te maken voor API Management services en entiteiten (bijvoorbeeld API's en beleidsregels).
Naslaginformatie: Role-Based Access Control gebruiken in Azure API Management
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ApiManagement:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management abonnementen mogen niet worden afgestemd op alle API's | API Management abonnementen moeten worden gericht op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot een overmatige blootstelling aan gegevens. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Protocollen en coderingen beheren in Azure API Management
Andere richtlijnen voor DP-3
Beheervlak-aanroepen worden gedaan via Azure Resource Manager via TLS. Er is een geldig JSON-webtoken (JWT) vereist. Aanroepen van gegevensvlakken kunnen worden beveiligd met TLS en een van de ondersteunde verificatiemechanismen (bijvoorbeeld clientcertificaat of JWT).
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ApiManagement:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management API's mogen alleen versleutelde protocollen gebruiken | Om de beveiliging van gegevens tijdens overdracht te garanderen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. | Controleren, uitgeschakeld, weigeren | 2.0.2 |
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Klantgegevens in een API Management-exemplaar, waaronder API-instellingen, producten, abonnementen, gebruikers, groepen en aangepaste inhoud van de ontwikkelaarsportal, worden opgeslagen in een SQL Azure database en in Azure Storage, waarmee de inhoud in rust automatisch wordt versleuteld.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat sleutels die door API Management worden gebruikt, worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.
Naslaginformatie: Vereisten voor sleutelkluisintegratie
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ApiManagement:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management benoemde waarden voor het geheim moeten worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar benoemde waarden in Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor het rouleren van geheimen. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat geheimen voor API Management (benoemde waarden) worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.
Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer het certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: Back-endservices beveiligen met clientcertificaatverificatie in Azure API Management
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik ingebouwde Azure Policy om beveiligde configuratie in API Management resources te bewaken en af te dwingen. Gebruik Azure Policy aliassen in de naamruimte Microsoft.ApiManagement om waar nodig aangepaste Azure Policy definities te maken.
Naslaginformatie: Azure Policy ingebouwde beleidsdefinities voor Azure API Management
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Defender voor API's, een mogelijkheid van Microsoft Defender voor cloud, biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's die worden beheerd in Azure API Management.
Het onboarden van API's voor Defender voor API's is een proces in twee stappen: het Defender voor API-plan voor het abonnement inschakelen en het onboarden van niet-beveiligde API's in uw API Management-exemplaren.
Bekijk een samenvatting van alle beveiligingsaanbevelingen en waarschuwingen voor onboarded API's door Microsoft Defender for Cloud te selecteren in het menu voor uw API Management exemplaar.
Naslaginformatie: Geavanceerde API-beveiligingsfuncties inschakelen met Microsoft Defender for Cloud
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Schakel resourcelogboeken in voor API Management, resourcelogboeken bieden uitgebreide informatie over bewerkingen en fouten die belangrijk zijn voor controle- en probleemoplossingsdoeleinden. Categorieën van resourcelogboeken voor API Management zijn onder andere:
- GatewayLogs
- WebSocketConnectionLogs
Naslaginformatie: APIM-resourcelogboeken
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Aanvullende richtlijnen: Maak gebruik van de back-up- en herstelmogelijkheden in Azure API Management-service. Wanneer u back-upmogelijkheden gebruikt, schrijft Azure API Management back-ups naar Azure Storage-accounts die eigendom zijn van de klant. Back-up- en herstelbewerkingen worden geleverd door Azure API Management om volledige systeemback-up en herstel uit te voeren.
Naslaginformatie: Herstel na noodgevallen implementeren met behulp van serviceback-up en herstel in Azure API Management
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen