Udostępnij za pośrednictwem

Zalecenia dotyczące zabezpieczeń usługi API/API Management

  • Artykuł

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń usługi API/API Management, które można zobaczyć w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.

Zalecenia dotyczące interfejsu API platformy Azure

Należy włączyć usługę Microsoft Defender dla interfejsów API

Opis i powiązane zasady: Włącz usługę Defender dla interfejsów API, aby odnajdywać i chronić zasoby interfejsu API przed atakami i błędami konfiguracji zabezpieczeń. Dowiedz się więcej

Ważność: Wysoka

Interfejsy API usługi Azure API Management powinny być dołączane do usługi Defender dla interfejsów API

Opis i powiązane zasady: dołączanie interfejsów API do usługi Defender dla interfejsów API wymaga użycia zasobów obliczeniowych i pamięci w usłudze Azure API Management. Monitoruj wydajność usługi Azure API Management podczas dołączania interfejsów API i skaluj zasoby usługi Azure API Management zgodnie z potrzebami.

Ważność: Wysoka

Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management

Opis i powiązane zasady: Jako najlepsze rozwiązanie w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale zostały przypadkowo aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń.

Ważność: Niska

Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane

Opis i powiązane zasady: punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w usłudze Azure API Management ta rekomendacja ocenia uwierzytelnianie poprzez weryfikowanie obecności kluczy subskrypcji usługi Azure API Management dla interfejsów API lub produktów, w których jest wymagana subskrypcja, oraz wykonywanie zasad weryfikacji JWT, certyfikatów klienta i tokenów firmy Microsoft Entra. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie.

Ważność: Wysoka

Zalecenia dotyczące usługi API Management

Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API

Opis i powiązane zasady: subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane.

Ważność: średni rozmiar

Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani sprawdzania poprawności nazwy

Opis i powiązane zasady: usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy, aby poprawić bezpieczeństwo interfejsu API.

Ważność: średni rozmiar

Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management

Opis i powiązane zasady: Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi.

Ważność: Niska

Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów

Opis i powiązane zasady: interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS, aby zapewnić bezpieczeństwo przesyłanych danych.

Ważność: Wysoka

Wpis tajny usługi API Management o nazwach wartości powinien być przechowywany w usłudze Azure Key Vault

Opis i powiązane zasady: Nazwane wartości są kolekcją par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Odwołanie do wpisów tajnych nazwanych wartości z usługi Azure Key Vault w celu zwiększenia bezpieczeństwa usługi API Management i wpisów tajnych. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych.

Ważność: średni rozmiar

Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi

Opis i powiązane zasady: Aby poprawić bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak interfejs API zarządzania dostępem bezpośrednim, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie.

Ważność: średni rozmiar

Minimalna wersja interfejsu API usługi API Management powinna być ustawiona na 2019-12-01 lub nowszą

Opis i powiązane zasady: Aby uniemożliwić udostępnianie wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą.

Ważność: średni rozmiar

Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane

Opis i powiązane zasady: wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy są używane certyfikaty, czy poświadczenia. Nie dotyczy zapleczy usługi Service Fabric.

Ważność: średni rozmiar

Powiązana zawartość