Definições de política internas do Azure Policy para o Gerenciamento de API do Azure

Esta página é um índice de definições de políticas internas do Azure Policy para o Gerenciamento de API do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy. Para exemplos de política do Gerenciamento de API, confira Gerenciamento de API – índice de políticas.

O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para ver a origem no repositório GitHub do Azure Policy.

Gerenciamento de API do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As APIs do Gerenciamento de API devem usar apenas protocolos criptografados As APIs devem usar protocolos criptografados. As APIs não devem usar protocolos não criptografados, como o HTTP ou WS. Auditoria, desabilitado, negação 2.0.1
As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric. Auditoria, desabilitado, negação 1.0.1
As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome As chamadas do Gerenciamento de API para back-ends de API devem validar a impressão digital e o nome do certificado. Auditoria, desabilitado, negação 1.0.1
O ponto de extremidade do Gerenciamento de API direto do Gerenciamento de API não deve ser habilitado O Gerenciamento de API do Azure fornece uma API REST de gerenciamento direto, que pode ignorar determinados limites da API baseada no Azure Resource Manager e não deve ser habilitada por padrão. Auditoria, desabilitado, negação 1.0.1
A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior Para evitar que os segredos do serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. Audit, Deny, desabilitado 1.0.1
Os segredos dos Valores Nomeados do Gerenciamento de API devem ser armazenados no Azure KeyVault Os segredos referenciados em Valores Nomeados devem armazenar os valores no Azure KeyVault em vez de dentro do repositório de Valores Nomeados. Auditoria, desabilitado, negação 1.0.1
O serviço de Gerenciamento de API deve usar um SKU que dê suporte a redes virtuais Usando os SKUs compatíveis do Gerenciamento de API, a implantação do serviço em uma rede virtual desbloqueia recursos avançados de segurança e de rede do Gerenciamento de API, o que oferece maior controle sobre a configuração de segurança da rede. Saiba mais em: https://aka.ms/apimvnet. Audit, Deny, desabilitado 1.0.0
Os serviços de Gerenciamento de API devem desabilitar o acesso à rede pública Para aprimorar a segurança dos serviços de Gerenciamento de API, assegure-se de que os pontos de extremidade não estejam expostos à Internet pública. Alguns pontos de extremidade públicos são expostos por serviços de Gerenciamento de API para dar suporte a cenários de usuário, por exemplo, acesso direto à API de Gerenciamento, gerenciamento de configuração usando o Git, configuração de gateways auto-hospedados. Se algum desses recursos não for usado, os pontos de extremidade correspondentes deverão ser desabilitados. AuditIfNotExists, desabilitado 1.0.0
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. Audit, desabilitado 1.0.1
As assinaturas de Gerenciamento de API não devem ter o escopo de todas as APIs. As assinaturas de Gerenciamento de API devem ter escopo no produto ou API individual em vez de em todas as APIs, pois pode expor todas as APIs na instância de Gerenciamento de API. Auditoria, desabilitado, negação 1.0.0
Configurar os serviços de Gerenciamento de API para desabilitar o acesso à rede pública Para aprimorar a segurança dos serviços de Gerenciamento de API, desabilite os pontos de extremidade públicos. Alguns pontos de extremidade públicos são expostos por serviços de Gerenciamento de API para dar suporte a cenários de usuário, por exemplo, acesso direto à API de Gerenciamento, gerenciamento de configuração usando o Git, configuração de gateways auto-hospedados. Se algum desses recursos não for usado, os pontos de extremidade correspondentes deverão ser desabilitados. DeployIfNotExists, desabilitado 1.0.0

Próximas etapas