API/API 管理安全性建議

本文列出了你在 適用於雲端的 Microsoft Defender 中可能看到的所有 API/API 管理安全建議。

您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。 您可以在 入口網站中看到 適用於您資源的建議。

欲了解針對這些建議可採取的行動，請參閱 適用於雲端的 Defender 中的 Remediate 建議。

Azure API recommendations

Microsoft Defender for API 應該啟用

描述與相關政策：啟用 API Defender 計畫，以發現並保護 API 資源免受攻擊及安全設定錯誤。 深入了解

嚴重性：高

Azure API 管理 API 應該被導入到 Defender for APIS

描述與相關政策：將 API 導入以Defender API 需要對 Azure API 管理 服務進行計算與記憶體使用。 在啟用 Azure API 管理 服務時監控效能，並視需要擴充 Azure API 管理 資源。

嚴重性：高

未使用的 API 端點應該被停用並從 Azure API 管理 服務中移除

描述與相關政策：作為安全最佳實務，30 天內未收到流量的 API 端點被視為未使用，應從 Azure API 管理 服務中移除。 保留未使用的 API 端點可能會造成安全性風險。 這些可能是本應從 Azure API 管理 服務中棄用，但卻意外被保留為啟用狀態的 API。 這類 API 通常不會收到最多 up-to日期安全性涵蓋範圍。

嚴重性：低

Azure API 管理 中的 API 端點應該被認證

描述與相關政策：Azure API 管理 內發布的 API 端點應強制驗證，以降低安全風險。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 對於Azure API 管理年發佈的API，本建議透過驗證需訂閱的API或產品的Azure API 管理訂閱金鑰，以及執行驗證JWT、客戶憑證及Microsoft Entra 代幣。 如果在 API 呼叫期間未執行這些驗證機制，則 API 將會收到此建議。

嚴重性：高

未使用的 API 端點應該從函式應用程式停用和移除 （預覽）

描述與相關原則：未收到流量 30 天的 API 端點會被視為未使用，並構成潛在的安全性風險。 當這些端點應該已被取代時，可能會不小心保持作用中狀態。 通常，未使用的 API 端點缺少最新的安全性更新，使其容易受到攻擊。 為防止潛在的安全漏洞，我們建議從 Azure Function Apps 中停用並移除這些 HTTP 觸發端點。

嚴重性：低

應停用未使用的 API 端點，並從 Logic Apps 中移除 （預覽）

描述與相關原則：未收到流量 30 天的 API 端點會被視為未使用，並構成潛在的安全性風險。 當這些端點應該已被取代時，可能會不小心保持作用中狀態。 通常，未使用的 API 端點缺少最新的安全性更新，使其容易受到攻擊。 為防止潛在的安全漏洞，我們建議從 Azure Logic Apps 中停用並移除這些端點。

嚴重性：低

驗證應在功能應用程式（預覽版）中託管的 API 端點啟用

描述與相關政策：Azure Function Apps 內發布的 API 端點應強制驗證，以降低安全風險。 這對於防止未經授權存取及潛在資料外洩至關重要。 若未妥善驗證，敏感資料可能被洩露，進而危及系統安全。

嚴重性：高

驗證應在 Logic Apps （預覽版）託管的 API 端點啟用

描述與相關政策：Azure Logic Apps 內發布的 API 端點應強制認證，以降低安全風險。 這對於防止未經授權存取及潛在資料外洩至關重要。 若未妥善驗證，敏感資料可能被洩露，進而危及系統安全。

嚴重性：高

API 管理建議

API 管理訂用帳戶不應限定於所有 API

描述與相關原則：API 管理 訂用帳戶的範圍應設定為產品或個別 API，而不是所有 API，這可能會導致數據過度暴露。

嚴重性：中

API 管理對 API 後端的呼叫不應略過憑證指紋或名稱驗證

描述與相關原則：API 管理 應該驗證所有 API 呼叫的後端伺服器證書。 啟用 SSL 憑證指紋和名稱驗證，以改善 API 安全性。

嚴重性：中

不應該啟用 API 管理直接管理端點

描述與相關政策：Azure API 管理 中的直接管理 REST API 繞過了Azure Resource Manager基於角色的存取控制、授權與限速機制，從而增加服務的脆弱性。

嚴重性：低

APIM API 應一律只使用加密通訊協定

描述與相關原則：API 只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 避免使用不安全的通訊協定，例如 HTTP 或 WS，以確保傳輸中的數據安全性。

嚴重性：高

API 管理的秘密命名值應該儲存在 Azure Key Vault

描述與相關原則：具名值是每個 API 管理 服務中名稱和值組的集合。 秘密值可以以加密文字形式儲存在 API 管理（自訂秘密）中，或透過在 Azure Key Vault 中引用秘密來儲存。 參考 Azure Key Vault 中的秘密命名值，以提升 API 管理與秘密的安全性。 Azure Key Vault 支援細緻存取管理與秘密輪換政策。

嚴重性：中

APIM 應停用服務組態端點的公用網路存取

描述與相關原則：若要改善 API 管理 服務的安全性，請限制服務組態端點的連線，例如直接存取管理 API、Git 組態管理端點或自我裝載網關設定端點。

嚴重性：中

APIM 的最低 API 版本應設定為 2019-12-01 或更新版本

描述與相關原則：若要防止服務秘密與只讀用戶共用，最低 API 版本應設定為 2019-12-01 或更高版本。

嚴重性：中

應驗證 APIM 對 API 後端的呼叫

描述與相關原則：從 API 管理 到後端的呼叫應該使用某種形式的驗證，無論是透過憑證還是認證。 這不適用於 Service Fabric 的後端。

嚴重性：中

相關內容

• 瞭解安全性建議嗎？
• 檢閱安全性建議