Delen via


Azure-beveiligingsbasislijn voor API Management

Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op API Management. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op API Management.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op API Management zijn uitgesloten. Als u wilt zien hoe API Management volledig is toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige API Management toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van API Management, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Web
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Inhoud van klanten in rust opgeslagen False

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Implementeer Azure API Management in een Azure Virtual Network (VNET), zodat het toegang heeft tot back-endservices in het netwerk. De ontwikkelaarsportal en API Management gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet (extern) of alleen binnen het Vnet (intern).

  • Extern: de API Management gateway en ontwikkelaarsportal zijn toegankelijk via het openbare internet via een externe load balancer. De gateway heeft toegang tot resources in het virtuele netwerk.
  • Intern: de API Management gateway en ontwikkelaarsportal zijn alleen toegankelijk vanuit het virtuele netwerk via een interne load balancer. De gateway heeft toegang tot resources in het virtuele netwerk.

Naslaginformatie: Een virtueel netwerk gebruiken met Azure API Management

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Implementeer netwerkbeveiligingsgroepen (NSG's) in uw API Management-subnetten om verkeer te beperken of te bewaken via poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.

Let op: bij het configureren van een NSG op het API Management subnet moet er een set poorten zijn geopend. Als een van deze poorten niet beschikbaar is, werkt API Management mogelijk niet goed en is het mogelijk niet meer toegankelijk.

Opmerking: NSG-regels configureren voor API Management

Naslaginformatie over configuratie van virtueel netwerk: API Management

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: In gevallen waarin u API Management exemplaren niet kunt implementeren in een virtueel netwerk, moet u in plaats daarvan een privé-eindpunt implementeren om een privétoegangspunt voor deze resources tot stand te brengen.

Opmerking: als u privé-eindpunten wilt inschakelen, kan het API Management-exemplaar nog niet worden geconfigureerd met een extern of intern virtueel netwerk. Een privé-eindpuntverbinding ondersteunt alleen binnenkomend verkeer naar het API Management-exemplaar.

Naslaginformatie: Privé verbinding maken met API Management met behulp van een privé-eindpunt

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de IP-ACL-filterregel op de NSG's die zijn toegewezen aan de subnetten van de service of een schakeloptie voor openbare netwerktoegang.

Opmerking: API Management ondersteunt implementaties in een virtueel netwerk, evenals het vergrendelen van niet-netwerkimplementaties met een privé-eindpunt en het uitschakelen van openbare netwerktoegang.

Naslaginformatie: Openbare netwerktoegang uitschakelen

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.ApiManagement:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging en isolatie en stelt u in staat om uw API Management-service in een routeerbaar netwerk zonder internet te plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waardoor u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2

NS-6: Web Application Firewall implementeren

Andere richtlijnen voor NS-6

Als u essentiële web-/HTTP-API's wilt beveiligen, configureert u API Management in een Virtual Network (VNET) in de interne modus en configureert u een Azure Application Gateway. Application Gateway is een PaaS-service. Het fungeert als een omgekeerde proxy en biedt L7-taakverdeling, routering, Web Application Firewall (WAF) en andere services. Meer informatie.

Als u API Management die in een intern VNET is ingericht, combineert met de Application Gateway front-end, worden de volgende scenario's mogelijk:

  • Gebruik één API Management resource om alle API's beschikbaar te maken voor zowel interne als externe consumenten.
  • Gebruik één API Management resource voor het beschikbaar maken van een subset van API's voor externe consumenten.
  • Een manier bieden om de toegang tot API Management van het openbare internet in of uit te schakelen.

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik waar mogelijk Azure Active Directory (Azure AD) als de standaardverificatiemethode voor API Management.

  • Configureer uw Azure API Management Developer Portal om ontwikkelaarsaccounts te verifiëren met behulp van Azure AD.
  • Configureer uw Azure API Management-exemplaar om uw API's te beveiligen met behulp van het OAuth 2.0-protocol met Azure AD.

Naslaginformatie: Een API beveiligen in Azure API Management met behulp van OAuth 2.0-autorisatie met Azure Active Directory

Lokale verificatiemethoden voor toegang tot gegevensvlak

Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.

Configuratierichtlijnen: Beperk het gebruik van lokale verificatiemethoden voor toegang op het gegevensvlak, onderhoud de inventaris van API Management gebruikersaccounts en stem de toegang zo nodig af. In API Management zijn ontwikkelaars de gebruikers van de API's die worden weergegeven met API Management. Nieuw gemaakte ontwikkelaarsaccounts zijn standaard Actief en gekoppeld aan de groep Ontwikkelaars. Ontwikkelaarsaccounts die een actieve status hebben, kunnen worden gebruikt voor toegang tot alle API's waarvoor ze abonnementen hebben.

Azure API Management-abonnementen zijn ook een van de manieren om de toegang tot API's te beveiligen en worden geleverd met een paar gegenereerde abonnementssleutels die rotatie ondersteunen.

In plaats van andere verificatiemethoden te gebruiken, gebruikt u waar mogelijk Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.

Naslaginformatie: Verifiëren met Basic

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik een Managed Service Identity die is gegenereerd door Azure Active Directory (Azure AD) om uw API Management-exemplaar eenvoudig en veilig toegang te geven tot andere Azure AD beveiligde resources, zoals Azure Key Vault in plaats van service-principals te gebruiken. Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Naslaginformatie: Verifiëren met beheerde identiteit

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.

IM-5: Eenmalige aanmelding (SSO) gebruiken voor toegang tot toepassingen

Andere richtlijnen voor IM-5

Azure API Management kan worden geconfigureerd om gebruik te maken van Azure Active Directory (Azure AD) als id-provider voor het verifiëren van gebruikers in de ontwikkelaarsportal om te profiteren van de mogelijkheden voor eenmalige aanmelding die Azure AD biedt. Zodra de configuratie is voltooid, kunnen nieuwe gebruikers van de ontwikkelaarsportal ervoor kiezen om het out-of-the-box registratieproces te volgen door eerst Azure AD te verifiëren en vervolgens het registratieproces in de portal te voltooien zodra deze is geverifieerd.

Het aanmeldings-/registratieproces kan ook verder worden aangepast via delegatie. Met delegatie kunt u uw bestaande website gebruiken voor het afhandelen van aanmeldingen/registraties voor ontwikkelaars en abonnementen op producten, in plaats van het gebruik van de ingebouwde functionaliteit in de ontwikkelaarsportal. Hiermee kan uw website eigenaar zijn van de gebruikersgegevens en de validatie van deze stappen op een aangepaste manier uitvoeren.

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat geheimen voor API Management (benoemde waarden) worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.

Naslaginformatie: Benoemde waarden gebruiken in Azure API Management-beleid met Key Vault-integratie

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.ApiManagement:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
API Management minimale API-versie moet worden ingesteld op 2019-12-01 of hoger Als u wilt voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. Controleren, Weigeren, Uitgeschakeld 1.0.1

Bevoegde toegang

Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten

Functies

Lokale Beheer-accounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.

Configuratierichtlijnen: als dit niet vereist is voor routinebeheerbewerkingen, schakelt u alle lokale beheerdersaccounts uit of beperkt u deze alleen voor noodgebruik.

Opmerking: API Management staat het maken van een lokaal gebruikersaccount toe. In plaats van deze lokale accounts te maken, schakelt u alleen Azure Active Directory-verificatie (Azure AD) in en wijst u machtigingen toe aan deze Azure AD accounts.

Naslaginformatie: Gebruikersaccounts beheren in Azure API Management

PA-7: Volg het principe just enough administration (least privilege)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken voor het beheren van de toegang tot Azure API Management. Azure API Management is afhankelijk van op rollen gebaseerd toegangsbeheer van Azure om gedetailleerd toegangsbeheer mogelijk te maken voor API Management services en entiteiten (bijvoorbeeld API's en beleidsregels).

Naslaginformatie: Role-Based Access Control gebruiken in Azure API Management

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.ApiManagement:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
API Management abonnementen mogen niet worden afgestemd op alle API's API Management abonnementen moeten worden gericht op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot een overmatige blootstelling aan gegevens. Controleren, uitgeschakeld, weigeren 1.1.0

PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Gedeeld

Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Functies

Detectie en classificatie van gevoelige gegevens

Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

Functies

Preventie van gegevenslekken/-verlies

Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Gegevens-in-transitversleuteling

Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Protocollen en coderingen beheren in Azure API Management

Andere richtlijnen voor DP-3

Beheervlak-aanroepen worden gedaan via Azure Resource Manager via TLS. Er is een geldig JSON-webtoken (JWT) vereist. Aanroepen van gegevensvlakken kunnen worden beveiligd met TLS en een van de ondersteunde verificatiemechanismen (bijvoorbeeld clientcertificaat of JWT).

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.ApiManagement:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
API Management API's mogen alleen versleutelde protocollen gebruiken Om de beveiliging van gegevens tijdens overdracht te garanderen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. Controleren, uitgeschakeld, weigeren 2.0.2

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Functieopmerkingen: Klantgegevens in een API Management-exemplaar, waaronder API-instellingen, producten, abonnementen, gebruikers, groepen en aangepaste inhoud van de ontwikkelaarsportal, worden opgeslagen in een SQL Azure database en in Azure Storage, waarmee de inhoud in rust automatisch wordt versleuteld.

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat sleutels die door API Management worden gebruikt, worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.

Naslaginformatie: Vereisten voor sleutelkluisintegratie

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.ApiManagement:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
API Management benoemde waarden voor het geheim moeten worden opgeslagen in Azure Key Vault Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar benoemde waarden in Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor het rouleren van geheimen. Controleren, uitgeschakeld, weigeren 1.0.2

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: integratie van API Management met Azure Key Vault instellen. Zorg ervoor dat geheimen voor API Management (benoemde waarden) worden opgeslagen in een Azure-Key Vault, zodat ze veilig kunnen worden geopend en bijgewerkt.

Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer het certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.

Naslaginformatie: Back-endservices beveiligen met clientcertificaatverificatie in Azure API Management

Asset-management

Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik ingebouwde Azure Policy om beveiligde configuratie in API Management resources te bewaken en af te dwingen. Gebruik Azure Policy aliassen in de naamruimte Microsoft.ApiManagement om waar nodig aangepaste Azure Policy definities te maken.

Naslaginformatie: Azure Policy ingebouwde beleidsdefinities voor Azure API Management

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.

LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service-/productaanbiedingen

Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Defender voor API's, een mogelijkheid van Microsoft Defender voor cloud, biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's die worden beheerd in Azure API Management.

Het onboarden van API's voor Defender voor API's is een proces in twee stappen: het Defender voor API-plan voor het abonnement inschakelen en het onboarden van niet-beveiligde API's in uw API Management-exemplaren.  

Bekijk een samenvatting van alle beveiligingsaanbevelingen en waarschuwingen voor onboarded API's door Microsoft Defender for Cloud te selecteren in het menu voor uw API Management exemplaar.

Naslaginformatie: Geavanceerde API-beveiligingsfuncties inschakelen met Microsoft Defender for Cloud

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Schakel resourcelogboeken in voor API Management, resourcelogboeken bieden uitgebreide informatie over bewerkingen en fouten die belangrijk zijn voor controle- en probleemoplossingsdoeleinden. Categorieën van resourcelogboeken voor API Management zijn onder andere:

  • GatewayLogs
  • WebSocketConnectionLogs

Naslaginformatie: APIM-resourcelogboeken

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Gedeeld

Aanvullende richtlijnen: Maak gebruik van de back-up- en herstelmogelijkheden in Azure API Management-service. Wanneer u back-upmogelijkheden gebruikt, schrijft Azure API Management back-ups naar Azure Storage-accounts die eigendom zijn van de klant. Back-up- en herstelbewerkingen worden geleverd door Azure API Management om volledige systeemback-up en herstel uit te voeren.

Naslaginformatie: Herstel na noodgevallen implementeren met behulp van serviceback-up en herstel in Azure API Management

Volgende stappen