Säkerhetsrekommendationer för API/API-hantering
I den här artikeln visas alla säkerhetsrekommendationer för API/API-hantering som du kan se i Microsoft Defender för molnet.
Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.
Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.
Azure API-rekommendationer
Microsoft Defender för API:er ska vara aktiverat
Beskrivning och relaterad princip: Aktivera planen för Defender för API:er för att identifiera och skydda API-resurser mot attacker och felkonfigurationer av säkerhet. Läs mer
Allvarlighetsgrad: Hög
Api:er för Azure API Management bör registreras i Defender för API:er
Beskrivning och relaterad princip: Registrering av API:er till Defender för API:er kräver beräknings- och minnesanvändning i Azure API Management-tjänsten. Övervaka prestanda för azure API Management-tjänsten vid registrering av API:er och skala ut dina Azure API Management-resurser efter behov.
Allvarlighetsgrad: Hög
API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten
Beskrivning och relaterad princip: Som bästa praxis för säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen.
Allvarlighetsgrad: Låg
API-slutpunkter i Azure API Management ska autentiseras
Beskrivning och relaterad princip: API-slutpunkter som publicerats i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. För API:er som publicerats i Azure API Management utvärderar den här rekommendationen autentiseringen genom att verifiera förekomsten av Azure API Management-prenumerationsnycklar för API:er eller produkter där prenumeration krävs och körning av principer för validering av JWT, klientcertifikat och Microsoft Entra-token. Om ingen av dessa autentiseringsmekanismer körs under API-anropet får API:et den här rekommendationen.
Allvarlighetsgrad: Hög
Rekommendationer för API-hantering
API Management-prenumerationer bör inte begränsas till alla API:er
Beskrivning och relaterad princip: API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering.
Allvarlighetsgrad: Medel
API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering
Beskrivning och relaterad princip: API Management bör verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera SSL-certifikatets tumavtryck och namnverifiering för att förbättra API-säkerheten.
Allvarlighetsgrad: Medel
API Management-slutpunkten för direkthantering bör inte vara aktiverad
Beskrivning och relaterad princip: Rest-API:et för direkthantering i Azure API Management kringgår rollbaserad åtkomstkontroll, auktorisering och begränsning i Azure Resource Manager, vilket ökar sårbarheten för din tjänst.
Allvarlighetsgrad: Låg
API Management-API:er bör endast använda krypterade protokoll
Beskrivning och relaterad princip: API:er ska endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS för att säkerställa säkerheten för data under överföring.
Allvarlighetsgrad: Hög
API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault
Beskrivning och relaterad princip: Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. Referenshemlighet med namngivna värden från Azure Key Vault för att förbättra säkerheten för API Management och hemligheter. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation.
Allvarlighetsgrad: Medel
API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk
Beskrivning och relaterad princip: För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för direkt åtkomsthantering, Git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självvärdade gatewayer.
Allvarlighetsgrad: Medel
API Management lägsta API-version ska anges till 2019-12-01 eller senare
Beskrivning och relaterad princip: För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare.
Allvarlighetsgrad: Medel
API Management-anrop till API-serverdelar ska autentiseras
Beskrivning och relaterad princip: Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för Service Fabric-serverdelar.
Allvarlighetsgrad: Medel