Punkt odniesienia zabezpieczeń platformy Azure dla usługi API Management
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do API Management. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące API Management.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do API Management zostały wykluczone. Aby dowiedzieć się, jak API Management całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń API Management.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem API Management, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Internet |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Fałsz |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: wdrażanie usługi Azure API Management w sieci azure Virtual Network (VNET), dzięki czemu może uzyskiwać dostęp do usług zaplecza w sieci. Portal deweloperów i brama API Management można skonfigurować tak, aby była dostępna z Internetu (zewnętrzne) lub tylko w sieci wirtualnej (wewnętrznej).
- Zewnętrzne: brama API Management i portal deweloperów są dostępne z publicznego Internetu za pośrednictwem zewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
- Wewnętrzne: brama API Management i portal deweloperów są dostępne tylko z poziomu sieci wirtualnej za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Dokumentacja: Używanie sieci wirtualnej z usługą Azure API Management
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie sieciowych grup zabezpieczeń w podsieciach API Management w celu ograniczenia lub monitorowania ruchu według portu, protokołu, źródłowego adresu IP lub docelowego adresu IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usług Azure Load Balancers.
Uwaga: podczas konfigurowania sieciowej grupy zabezpieczeń w podsieci API Management istnieje zestaw portów wymaganych do otwarcia. Jeśli którykolwiek z tych portów jest niedostępny, API Management może nie działać prawidłowo i może stać się niedostępny.
Uwaga: Konfigurowanie reguł sieciowej grupy zabezpieczeń dla API Management
Dokumentacja: Dokumentacja konfiguracji sieci wirtualnej: API Management
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadkach, w których nie można wdrożyć API Management wystąpień w sieci wirtualnej, należy wdrożyć prywatny punkt końcowy w celu ustanowienia prywatnego punktu dostępu dla tych zasobów.
Uwaga: aby włączyć prywatne punkty końcowe, nie można jeszcze skonfigurować wystąpienia API Management z zewnętrzną lub wewnętrzną siecią wirtualną. Połączenie prywatnego punktu końcowego obsługuje tylko ruch przychodzący do wystąpienia API Management.
Dokumentacja: Nawiązywanie połączenia prywatnego z API Management przy użyciu prywatnego punktu końcowego
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP w sieciowych grupach zabezpieczeń przypisanych do podsieci usługi lub przełącznika przełączania na potrzeby dostępu do sieci publicznej.
Uwaga: API Management obsługuje wdrożenia w sieci wirtualnej, a także blokowanie wdrożeń nienależących do sieci przy użyciu prywatnego punktu końcowego i wyłączanie dostępu do sieci publicznej.
Dokumentacja: Wyłączanie dostępu do sieci publicznej
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.ApiManagement:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia ulepszone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci spoza Internetu, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby były dostępne z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
NS-6: Wdrażanie zapory aplikacji internetowej
Inne wskazówki dotyczące NS-6
Aby chronić krytyczne interfejsy API sieci Web/HTTP, skonfiguruj API Management w Virtual Network (VNET) w trybie wewnętrznym i skonfiguruj Azure Application Gateway. Application Gateway to usługa PaaS. Działa jako zwrotny serwer proxy i zapewnia równoważenie obciążenia L7, routing, zaporę aplikacji internetowej (WAF) i inne usługi. Dowiedz się więcej.
Połączenie API Management aprowizowania w wewnętrznej sieci wirtualnej z frontonem Application Gateway umożliwia wykonanie następujących scenariuszy:
- Użyj pojedynczego zasobu API Management, aby uwidocznić wszystkie interfejsy API zarówno dla użytkowników wewnętrznych, jak i użytkowników zewnętrznych.
- Użyj pojedynczego zasobu API Management do uwidaczniania podzestawu interfejsów API dla użytkowników zewnętrznych.
- Umożliwia przełączanie dostępu do API Management z publicznego Internetu i wyłączanie go.
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania dla API Management tam, gdzie to możliwe.
- Skonfiguruj portal deweloperów usługi Azure API Management do uwierzytelniania kont deweloperów przy użyciu Azure AD.
- Skonfiguruj wystąpienie usługi Azure API Management w celu ochrony interfejsów API przy użyciu protokołu OAuth 2.0 z Azure AD.
Dokumentacja: Ochrona interfejsu API w usłudze Azure API Management przy użyciu autoryzacji OAuth 2.0 w usłudze Azure Active Directory
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: Ogranicz użycie lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych, utrzymywanie spisu API Management kont użytkowników i uzgadnianie dostępu zgodnie z potrzebami. W API Management deweloperzy są konsumentami interfejsów API uwidocznionych za pomocą API Management. Domyślnie nowo utworzone konta deweloperów są aktywne i skojarzone z grupą Deweloperzy. Konta deweloperów, które są w stanie aktywnym, mogą służyć do uzyskiwania dostępu do wszystkich interfejsów API, dla których mają subskrypcje.
Ponadto subskrypcje usługi Azure API Management są jednym ze środków zabezpieczania dostępu do interfejsów API i są dostarczane z parą wygenerowanych kluczy subskrypcji, które obsługują rotację.
Zamiast używać innych metod uwierzytelniania, jeśli to możliwe, użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania w celu kontrolowania dostępu do płaszczyzny danych.
Dokumentacja: Uwierzytelnianie przy użyciu języka Podstawowe
Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj tożsamości usługi zarządzanej wygenerowanej przez usługę Azure Active Directory (Azure AD), aby umożliwić wystąpieniu API Management łatwe i bezpieczne uzyskiwanie dostępu do innych zasobów chronionych Azure AD, takich jak usługa Azure Key Vault zamiast używania jednostek usługi. Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Dokumentacja: Uwierzytelnianie przy użyciu tożsamości zarządzanej
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
IM-5: Uzyskiwanie dostępu do aplikacji przy użyciu logowania jednokrotnego
Inne wskazówki dotyczące wiadomości błyskawicznych i wiadomości błyskawicznych 5
Usługę Azure API Management można skonfigurować do korzystania z usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości do uwierzytelniania użytkowników w portalu deweloperów, aby korzystać z możliwości logowania jednokrotnego oferowanych przez Azure AD. Po skonfigurowaniu nowi użytkownicy portalu dla deweloperów mogą skorzystać z gotowego procesu rejestracji, najpierw uwierzytelniając się za pośrednictwem Azure AD, a następnie ukończyć proces rejestracji w portalu po uwierzytelnieniu.
Alternatywnie proces logowania/rejestracji można dodatkowo dostosować za pomocą delegowania. Delegowanie umożliwia korzystanie z istniejącej witryny internetowej do obsługi logowania deweloperów/rejestracji i subskrypcji produktów, w przeciwieństwie do korzystania z wbudowanych funkcji w portalu dla deweloperów. Umożliwia ona witrynie internetowej posiadanie danych użytkownika i przeprowadzenie weryfikacji tych kroków w niestandardowy sposób.
Im-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Konfigurowanie integracji API Management z usługą Azure Key Vault. Upewnij się, że wpisy tajne dla API Management (nazwanych wartości) są przechowywane w usłudze Azure Key Vault, aby można było bezpiecznie uzyskiwać do nich dostęp i aktualizować.
Dokumentacja: Używanie nazwanych wartości w zasadach usługi Azure API Management z integracją Key Vault
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.ApiManagement:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| API Management minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą | Aby zapobiec udostępnianiu wpisów tajnych usługi użytkownikom tylko do odczytu, minimalna wersja interfejsu API powinna być ustawiona na 2019-12-01 lub nowszą. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta Administracja lokalnych
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: Jeśli nie jest to wymagane w przypadku rutynowych operacji administracyjnych, wyłącz lub ogranicz wszystkie konta administratora lokalnego tylko do użytku awaryjnego.
Uwaga: API Management umożliwia utworzenie konta użytkownika lokalnego. Zamiast tworzyć te konta lokalne, włącz tylko uwierzytelnianie usługi Azure Active Directory (Azure AD) i przypisz uprawnienia do tych kont Azure AD.
Dokumentacja: Jak zarządzać kontami użytkowników w usłudze Azure API Management
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie dostępu do usługi Azure API Management. Usługa Azure API Management opiera się na kontroli dostępu opartej na rolach platformy Azure w celu umożliwienia szczegółowego zarządzania dostępem dla API Management usług i jednostek (na przykład interfejsów API i zasad).
Dokumentacja: Jak używać Role-Based Access Control w usłudze Azure API Management
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.ApiManagement:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| API Management subskrypcje nie powinny być ograniczone do wszystkich interfejsów API | API Management subskrypcje powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie danych. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Wskazówki dotyczące konfiguracji: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do Twoich danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Dane w szyfrowaniu tranzytowym
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Zarządzanie protokołami i szyframi w usłudze Azure API Management
Inne wskazówki dotyczące programu DP-3
Wywołania płaszczyzny zarządzania są wykonywane za pośrednictwem usługi Azure Resource Manager za pośrednictwem protokołu TLS. Wymagany jest prawidłowy token internetowy JSON (JWT). Wywołania płaszczyzny danych można zabezpieczyć za pomocą protokołu TLS i jednego z obsługiwanych mechanizmów uwierzytelniania (na przykład certyfikatu klienta lub JWT).
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.ApiManagement:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| interfejsy API API Management powinny używać tylko zaszyfrowanych protokołów | Aby zapewnić bezpieczeństwo przesyłanych danych, interfejsy API powinny być dostępne tylko za pośrednictwem zaszyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS. | Inspekcja, Wyłączone, Odmowa | 2.0.2 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: dane klienta w wystąpieniu API Management, w tym ustawienia interfejsu API, produkty, subskrypcje, użytkownicy, grupy i niestandardowa zawartość portalu dla deweloperów, są przechowywane w bazie danych Usługi SQL Azure i w usłudze Azure Storage, która automatycznie szyfruje zawartość magazynowana.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Konfigurowanie integracji API Management z usługą Azure Key Vault. Upewnij się, że klucze używane przez API Management są przechowywane w usłudze Azure Key Vault, aby można było bezpiecznie uzyskiwać do nich dostęp i aktualizować.
Dokumentacja: Wymagania wstępne dotyczące integracji z magazynem kluczy
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.ApiManagement:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| API Management wartości nazwanych wpisów tajnych powinny być przechowywane w usłudze Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Aby zwiększyć bezpieczeństwo API Management i wpisów tajnych, należy odwołać się do wpisów tajnych nazwanych wartości z usługi Azure Key Vault. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Konfigurowanie integracji API Management z usługą Azure Key Vault. Upewnij się, że wpisy tajne dla API Management (nazwanych wartości) są przechowywane w usłudze Azure Key Vault, aby można było bezpiecznie uzyskiwać do nich dostęp i aktualizować.
Usługa Azure Key Vault umożliwia tworzenie i kontrolowanie cyklu życia certyfikatu, w tym tworzenie, importowanie, rotacja, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niepewna kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że nadal są obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.
Dokumentacja: Zabezpieczanie usług zaplecza przy użyciu uwierzytelniania certyfikatu klienta w usłudze Azure API Management
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używaj tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj wbudowanych Azure Policy do monitorowania i wymuszania bezpiecznej konfiguracji w zasobach API Management. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ApiManagement", aby utworzyć niestandardowe definicje Azure Policy tam, gdzie jest to wymagane.
Dokumentacja: Azure Policy wbudowane definicje zasad dla usługi Azure API Management
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktu
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Usługa Defender dla interfejsów API, możliwość Microsoft Defender dla chmury, oferuje pełną ochronę cyklu życia, wykrywanie i pokrycie odpowiedzi dla interfejsów API zarządzanych w usłudze Azure API Management.
Dołączanie interfejsów API do usługi Defender dla interfejsów API to proces dwuetapowy: włączenie planu usługi Defender dla interfejsów API dla subskrypcji i dołączanie niechronionych interfejsów API w wystąpieniach API Management.
Wyświetl podsumowanie wszystkich zaleceń dotyczących zabezpieczeń i alertów dla dołączonych interfejsów API, wybierając pozycję Microsoft Defender dla chmury w menu wystąpienia API Management.
Dokumentacja: Włączanie zaawansowanych funkcji zabezpieczeń interfejsu API przy użyciu Microsoft Defender for Cloud
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włącz dzienniki zasobów dla API Management, dzienniki zasobów zawierają szczegółowe informacje o operacjach i błędach, które są ważne dla celów inspekcji i rozwiązywania problemów. Kategorie dzienników zasobów dla API Management obejmują:
- Dzienniki bramy
- WebSocketConnectionLogs
Dokumentacja: Dzienniki zasobów usługi APIM
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Natywne możliwości tworzenia kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Dodatkowe wskazówki: skorzystaj z możliwości tworzenia i przywracania kopii zapasowych w usłudze Azure API Management. W przypadku korzystania z możliwości tworzenia kopii zapasowych usługa Azure API Management zapisuje kopie zapasowe na kontach usługi Azure Storage należących do klienta. Operacje tworzenia i przywracania kopii zapasowych są udostępniane przez usługę Azure API Management do wykonywania pełnej kopii zapasowej i przywracania systemu.
Dokumentacja: Jak zaimplementować odzyskiwanie po awarii przy użyciu kopii zapasowej i przywracania usługi w usłudze Azure API Management