Definições de política internas do Azure Policy para o Gerenciamento de API do Azure
APLICA-SE A: todas as camadas do Gerenciamento de API
Esta página é um índice de definições de políticas internas do Azure Policy para o Gerenciamento de API do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy. Se você estiver procurando políticas que possa usar para modificar o comportamento da API no Gerenciamento de API, consulte Referência de política no Gerenciamento de API.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para ver a origem no repositório GitHub do Azure Policy.
Gerenciamento de API do Azure
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: o Serviço de Gerenciamento de API deve ter Redundância de Zona | O Serviço de Gerenciamento de API pode ser configurado para ter Redundância de Zona ou não. Um Serviço de Gerenciamento de API terá Redundância de Zona se seu nome de SKU for "Premium" e tiver pelo menos duas entradas em sua matriz de zonas. Esta política identifica os Serviços de Gerenciamento de API sem a redundância necessária para suportar uma interrupção de zona. | Audit, Deny, desabilitado | 1.0.1 – versão prévia |
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça de API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desabilitado | 1.0.1 |
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que podem ter sido acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desabilitado | 1.0.1 |
As APIs do Gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos inseguros, como HTTP ou WS. | Auditoria, desabilitado, negação | 2.0.2 |
As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric. | Auditoria, desabilitado, negação | 1.0.1 |
As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor de back-end para todas as chamadas à API. Habilite a validação da impressão digital e do nome do certificado SSL. | Auditoria, desabilitado, negação | 1.0.2 |
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve estar habilitado | A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do serviço. | Auditoria, desabilitado, negação | 1.0.2 |
A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que os segredos do serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Audit, Deny, desabilitado | 1.0.1 |
Os valores secretos nomeados do Gerenciamento de API devem ser armazenados no Azure Key Vault | Os valores nomeados são uma coleção global de pares de nome/valor em cada serviço do Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos no Azure Key Vault. Para melhorar a segurança de Gerenciamento de API e segredos, faça referência a valores nomeados do segredo do Azure Key Vault. O Azure Key Vault dá suporte a políticas de rotação de segredo e gerenciamento de acesso granulares. | Auditoria, desabilitado, negação | 1.0.2 |
O serviço de Gerenciamento de API deve usar um SKU que dê suporte a redes virtuais | Usando os SKUs compatíveis do Gerenciamento de API, a implantação do serviço em uma rede virtual desbloqueia recursos avançados de segurança e de rede do Gerenciamento de API, o que oferece maior controle sobre a configuração de segurança da rede. Saiba mais em: https://aka.ms/apimvnet. | Audit, Deny, desabilitado | 1.0.0 |
Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade com pontos de extremidade de configuração de serviço, como a API de gerenciamento de acesso direto, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desabilitado | 1.0.1 |
O Gerenciamento de API deve ter o nome de usuário e a autenticação de senha desabilitados | Para proteger melhor o portal do desenvolvedor, o nome de usuário e a autenticação de senha no Gerenciamento de API devem ser desabilitados. Configure a autenticação do usuário por meio de provedores de identidade do Azure AD ou do Azure AD B2C e desabilite o nome de usuário padrão e a autenticação de senha. | Audit, desabilitado | 1.0.1 |
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter escopo para um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditoria, desabilitado, negação | 1.1.0 |
A versão da plataforma de Gerenciamento de API do Azure deve ser stv2 | A versão da plataforma de computação STV1 do Gerenciamento de API do Azure será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, desabilitado | 1.0.0 |
Configure os serviços do Gerenciamento de API para desabilitar o acesso aos pontos de extremidade de configuração do serviço público do Gerenciamento de API | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade com pontos de extremidade de configuração de serviço, como a API de gerenciamento de acesso direto, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. | DeployIfNotExists, desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para serviços do Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para serviços de Gerenciamento de API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Modifique o Gerenciamento de API para desabilitar a autenticação de nome de usuário e senha | Para proteger melhor as contas de usuário do portal do desenvolvedor e suas credenciais, configure a autenticação do usuário por meio de provedores de identidade do Azure AD ou do Azure AD B2C e desabilite o nome de usuário padrão e a autenticação de senha. | Modificar | 1.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.