Встроенные определения политик в Политике Azure для службы "Управление API Azure"
ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни Управление API
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы "Управление API Azure". Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure. Если вы ищете политики, которые можно использовать для изменения поведения API в Управление API, ознакомьтесь со ссылкой на политику Управление API.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Управление API Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: служба Управление API должна быть избыточной по зонам | Управление API службу можно настроить для избыточности зоны или нет. Служба Управление API является избыточной по зонам, если его имя SKU — Premium, и в массиве зон имеется по крайней мере две записи. Эта политика определяет, Управление API службы не имеют избыточности, необходимой для того, чтобы выдержать сбой зоны. | Audit, Deny, Disabled | 1.0.1 (предварительная версия) |
| Конечные точки API в Azure Управление API должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользующимися и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы azure Управление API, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| УПРАВЛЕНИЕ API API должны использовать только зашифрованные протоколы | Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или Windows SharePoint Services. Избегайте использования незащищенных протоколов, таких как HTTP или WS. | Audit, Disabled, Deny | 2.0.2 |
| Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности | Вызовы из Управления API к серверным компонентам должны использовать аутентификацию с помощью сертификатов или учетных данных. Это не применяется к серверным компонентам Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени | Чтобы повысить безопасность API, Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. | Audit, Disabled, Deny | 1.0.2 |
| Управление API конечная точка прямого управления не должна быть включена | REST API прямого управления в Azure Управление API передает механизмы управления доступом на основе ролей, авторизации и регулирования Azure Resource Manager, что повышает уязвимость службы. | Audit, Disabled, Deny | 1.0.2 |
| В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя | Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. | Audit, Deny, Disabled | 1.0.1 |
| Управление API именованные значения секрета должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность Управление API и секретов, сослаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированные политики управления доступом и смены секретов. | Audit, Disabled, Deny | 1.0.2 |
| Служба Управления API должна использовать SKU с поддержкой виртуальных сетей | Если для Управления API используются поддерживаемые SKU, при развертывании службы в виртуальной сети вы получаете расширенные функции управления сетью и ее конфигурацией безопасности. См. дополнительные сведения: https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети. | Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. | AuditIfNotExists, Disabled | 1.0.1 |
| Управление API должен отключать имя пользователя и проверку подлинности паролей | Чтобы повысить безопасность портала разработчика, необходимо отключить проверку подлинности имени пользователя и пароля в Управление API. Настройте проверку подлинности пользователей с помощью Azure AD или поставщиков удостоверений Azure AD B2C и отключите проверку подлинности по умолчанию. | Audit, Disabled | 1.0.1 |
| Управление API подписки не должны быть область для всех API | Управление API подписки должны быть область продукта или отдельного API вместо всех API, что может привести к чрезмерному воздействию данных. | Audit, Disabled, Deny | 1.1.0 |
| Версия платформы azure Управление API должна быть stv2 | Версия вычислительной платформы azure Управление API stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
| Настройка служб Управление API для отключения доступа к конечным точкам конфигурации общедоступной службы Управление API | Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. | DeployIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для служб Управление API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для служб Управление API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для служб Управление API (microsoft.apimanagement/service) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для служб Управление API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Изменение Управление API для отключения проверки подлинности имени пользователя и пароля | Чтобы повысить безопасность учетных записей пользователей портала разработчика и их учетных данных, настройте проверку подлинности пользователей с помощью Azure AD или поставщиков удостоверений Azure AD B2C и отключите имя пользователя и пароль по умолчанию. | Изменить | 1.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.