Recomendações de segurança de API/gerenciamento de API

Este artigo lista todas as recomendações de segurança de gerenciamento de API/API que você pode ver em Microsoft Defender para Nuvem.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Você pode ver as recomendações no portal que se aplicam aos seus recursos.

Para saber mais sobre as ações que você pode executar em resposta a essas recomendações, consulte Remediar recomendações em Defender para Nuvem.

recomendações da API Azure

Microsoft Defender para APIs devem ser habilitadas

Description & política relacionada: habilite o Defender para que as APIs planejem descobrir e proteger recursos de API contra ataques e configurações incorretas de segurança. Saiba mais

Gravidade: Alta

Gerenciamento de API do Azure APIs devem ser integradas ao Defender para APIs

Description & política relacionada: a integração de APIs para Defender para APIs requer utilização de memória e computação no serviço Gerenciamento de API do Azure. Monitore o desempenho de seu serviço de Gerenciamento de API do Azure durante a integração de APIs e expanda seus recursos de Gerenciamento de API do Azure conforme necessário.

Gravidade: Alta

Os pontos de extremidade de API não utilizados devem ser desabilitados e removidos do serviço Gerenciamento de API do Azure

Description & política relacionada: como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais up-todata.

Gravidade: Baixa

Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados

Description & política relacionada: os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a autenticação verificando a presença de chaves de assinatura Gerenciamento de API do Azure para APIs ou produtos em que a assinatura é necessária e a execução de políticas para validar JWT, client certificates e tokens Microsoft Entra. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação.

Gravidade: Alta

Os pontos de extremidade de API não utilizados devem ser desabilitados e removidos dos Aplicativos de Funções (versão prévia)

Descrição & política relacionada: os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e representam um risco potencial à segurança. Esses pontos de extremidade podem ter sido deixados ativos acidentalmente quando deveriam ter sido preteridos. Muitas vezes, os pontos de extremidade de API não utilizados não têm as atualizações de segurança mais recentes, tornando-os vulneráveis. Para evitar possíveis violações de segurança, recomendamos desabilitar e remover esses pontos de extremidade disparados por HTTP de Azure Aplicativos de Funções.

Gravidade: Baixa

Os pontos de extremidade de API não utilizados devem ser desabilitados e removidos dos Aplicativos Lógicos (versão prévia)

Descrição & política relacionada: os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e representam um risco potencial à segurança. Esses pontos de extremidade podem ter sido deixados ativos acidentalmente quando deveriam ter sido preteridos. Muitas vezes, os pontos de extremidade de API não utilizados não têm as atualizações de segurança mais recentes, tornando-os vulneráveis. Para evitar possíveis violações de segurança, recomendamos desabilitar e remover esses pontos de extremidade de Aplicativos Lógicos do Azure.

Gravidade: Baixa

A autenticação deve ser habilitada em pontos de extremidade de API hospedados em Aplicativos de Funções (versão prévia)

Description & política relacionada: os pontos de extremidade de API publicados em Azure Aplicativos de Funções devem impor a autenticação para ajudar a minimizar o risco de segurança. Isso é crucial para evitar acesso não autorizado e possíveis violações de dados. Sem a autenticação adequada, os dados confidenciais podem ser expostos, comprometendo a segurança do sistema.

Gravidade: Alta

A autenticação deve ser habilitada em pontos de extremidade de API hospedados em Aplicativos Lógicos (versão prévia)

Description & política relacionada: os pontos de extremidade de API publicados em Aplicativos Lógicos do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Isso é crucial para evitar acesso não autorizado e possíveis violações de dados. Sem a autenticação adequada, os dados confidenciais podem ser expostos, comprometendo a segurança do sistema.

Gravidade: Alta

Recomendações de gerenciamento de API

As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs

Descrição e política relacionada: as assinaturas de Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.

Gravidade: Média

As chamadas de Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome

Descrição e política relacionada: o Gerenciamento de API deve validar o certificado do servidor de back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.

Gravidade: Média

O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado

Description & política relacionada: a API REST de gerenciamento direto em Gerenciamento de API do Azure ignora Azure Resource Manager controle de acesso baseado em função, autorização e mecanismos de limitação, aumentando assim a vulnerabilidade do serviço.

Gravidade: Baixa

As APIs do Gerenciamento de API devem usar apenas protocolos criptografados

Descrição e política relacionada: as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS, para garantir a segurança dos dados em trânsito.

Gravidade: Alta

Os valores nomeados do segredo de Gerenciamento de API devem ser armazenados no Azure Key Vault

Descrição e política relacionada: os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos em Azure Key Vault. Referencie valores nomeados do segredo de Azure Key Vault para melhorar a segurança do Gerenciamento de API e segredos. Azure Key Vault dá suporte ao gerenciamento de acesso granular e a políticas de rotação de segredo.

Gravidade: Média

O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço

Descrição e política relacionada: para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade aos pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração do Git ou ponto de extremidade de configuração de gateways auto-hospedados.

Gravidade: Média

A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior

Descrição e política relacionada: para impedir que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.

Gravidade: Média

As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas

Descrição e política relacionada: as chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric.

Gravidade: Média

Conteúdo relacionado

• Saiba mais sobre as recomendações de segurança?
• Revise as recomendações de segurança