Рекомендации по безопасности управления API и API

В этой статье перечислены все рекомендации по безопасности управления API и API, которые можно увидеть в Microsoft Defender для облака.

Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации. Вы можете просмотреть рекомендации на портале , которые применяются к ресурсам.

Дополнительные сведения о действиях, которые можно выполнить в ответ на эти рекомендации, см. в статье РекомендацииRemediate в Defender для облака.

рекомендации по API Azure

Microsoft Defender для API следует включить

Description & связанная политика. Включите план Defender для API для обнаружения и защиты ресурсов API от атак и неправильной настройки безопасности. Подробнее

Серьезность: высокий уровень

Azure API Management API должны быть подключены к Defender для API

Description & связанная политика. Подключение API для Defender для API требует использования вычислительных ресурсов и памяти в службе Azure API Management. Отслеживайте производительность службы Azure API Management при подключении API и масштабируйте Azure API Management ресурсы по мере необходимости.

Серьезность: высокий уровень

Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы Azure API Management

Description & связанная политика. В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure API Management. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности. Это могут быть API, которые должны были быть устаревшими из службы Azure API Management, но случайно были оставлены активными. Такие API обычно не получают наиболее up-toпокрытия безопасности даты.

Серьезность: низкая

Конечные точки API в Azure API Management должны проходить проверку подлинности

Description & связанная политика: конечные точки API, опубликованные в Azure API Management, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Для API, опубликованных в Azure API Management, эта рекомендация оценивает проверку подлинности путем проверки наличия ключей подписки Azure API Management для API или продуктов, где требуется подписка, а также выполнение политик проверки JWT, клиентные сертификаты и токены Microsoft Entra. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API получит эту рекомендацию.

Серьезность: высокий уровень

Неиспользуемые конечные точки API должны быть отключены и удалены из приложений-функций (предварительная версия)

Описание и связанная политика: конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и представляют потенциальный риск безопасности. Эти конечные точки, возможно, были оставлены активными случайно, когда они должны были быть устаревшими. Часто неиспользуемые конечные точки API не имеют последних обновлений системы безопасности, что делает их уязвимыми. Чтобы предотвратить потенциальные нарушения безопасности, рекомендуется отключить и удалить эти конечные точки, активированные HTTP, из приложений-функций Azure.

Серьезность: низкая

Неиспользуемые конечные точки API должны быть отключены и удалены из Logic Apps (предварительная версия)

Описание и связанная политика: конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и представляют потенциальный риск безопасности. Эти конечные точки, возможно, были оставлены активными случайно, когда они должны были быть устаревшими. Часто неиспользуемые конечные точки API не имеют последних обновлений системы безопасности, что делает их уязвимыми. Чтобы предотвратить потенциальные нарушения безопасности, рекомендуется отключить и удалить эти конечные точки из Azure Logic Apps.

Серьезность: низкая

Проверка подлинности должна быть включена в конечных точках API, размещенных в приложениях-функциях (предварительная версия)

Description & связанная политика: конечные точки API, опубликованные в приложениях-функциях Azure, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Это важно для предотвращения несанкционированного доступа и потенциальных нарушений данных. Без надлежащей проверки подлинности конфиденциальные данные могут быть подвержены риску, компрометируя безопасность системы.

Серьезность: высокий уровень

Проверка подлинности должна быть включена в конечных точках API, размещенных в Logic Apps (предварительная версия)

Description & связанная политика: конечные точки API, опубликованные в Azure Logic Apps, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Это важно для предотвращения несанкционированного доступа и потенциальных нарушений данных. Без надлежащей проверки подлинности конфиденциальные данные могут быть подвержены риску, компрометируя безопасность системы.

Серьезность: высокий уровень

Рекомендации по управлению API

Подписки управления API не должны быть ограничены всеми API

Описание и связанная политика: Управление API подписки должны быть ограничены продуктом или отдельным API вместо всех API, что может привести к чрезмерному воздействию данных.

Серьезность: средний

Вызовы управления API к серверным службам API не должны обходить отпечаток сертификата или проверку имени

Описание и связанная политика: Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка SSL-сертификата и имени, чтобы повысить безопасность API.

Серьезность: средний

Конечная точка прямого управления API не должна быть включена

Description & связанная политика: REST API прямого управления в Azure API Management пропускает Azure Resource Manager механизмы управления доступом на основе ролей, авторизации и регулирования, что повышает уязвимость службы.

Серьезность: низкая

УПРАВЛЕНИЕ API API должны использовать только зашифрованные протоколы

Описание и связанная политика: API должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS, чтобы обеспечить безопасность передаваемых данных.

Серьезность: высокий уровень

Именованные значения секрета управления API должны храниться в Azure Key Vault

Описание и связанная политика. Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить как зашифрованный текст в службе управления API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Ссылки на именованные значения секретов из Azure Key Vault для повышения безопасности управления API и секретов. Azure Key Vault поддерживает детализированное управление доступом и политики смены секретов.

Серьезность: средний

Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети.

Описание и связанная политика. Чтобы повысить безопасность служб Управление API, ограничить подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов.

Серьезность: средний

В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя

Описание и связанная политика. Чтобы запретить доступ к секретам службы пользователям только для чтения, минимальная версия API должна иметь значение 2019-12-01 или выше.

Серьезность: средний

Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности

Описание и связанная политика. Вызовы от Управление API к серверным службам должны использовать некоторую форму проверки подлинности, будь то с помощью сертификатов или учетных данных. Не применяется к серверным службам Fabric.

Серьезность: средний

Связанный контент

• Узнайте о рекомендациях по безопасности?
• Просмотр рекомендаций по безопасности