API/API 管理安全性建議
本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有 API/API 管理安全性建議。
您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。
若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。
Azure API 建議
應啟用適用於 API 的 Microsoft Defender
描述與相關原則:啟用適用於 API 的 Defender 計劃,以探索及保護 API 資源免於遭受攻擊和安全性設定錯誤。 深入了解
嚴重性:高
Azure API 管理 API 應上線至適用於 API 的 Defender
描述與相關原則:將 API 上線至適用於 API 的 Defender 需要 Azure API 管理 服務的計算和記憶體使用率。 在上線 API 時監視 Azure API 管理 服務的效能,並視需要相應放大 Azure API 管理 資源。
嚴重性:高
應停用或從 Azure APIM 服務中移除未使用的 API 端點
描述與相關原則:作為安全性最佳做法,未收到流量 30 天的 API 端點會被視為未使用,且應該從 Azure API 管理 服務中移除。 保留未使用的 API 端點可能會造成安全性風險。 這些可能是應該已從 Azure API 管理服務中淘汰,卻可能不小心還保持作用中狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。
嚴重性:低
Azure APIM 中的 API 端點應經過驗證
描述與相關原則:在 Azure API 管理 內發佈的 API 端點應該強制執行驗證,以協助將安全性風險降至最低。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 針對在 Azure API 管理 中發佈的 API,此建議會透過驗證需要訂用帳戶之 API 或產品的 Azure API 管理 訂用帳戶密鑰是否存在,以及驗證 JWT、用戶端憑證和 Microsoft Entra 令牌的原則執行來評估驗證。 如果在 API 呼叫期間未執行這些驗證機制,則 API 將會收到此建議。
嚴重性:高
API 管理建議
APIM 訂用帳戶不應將範圍設定為所有 API
描述與相關原則:API 管理 訂用帳戶的範圍應設定為產品或個別 API,而不是所有 API,這可能會導致數據過度暴露。
嚴重性:中
APIM 呼叫 API 後端時,不應略過憑證指紋或名稱驗證
描述與相關原則:API 管理 應驗證所有 API 呼叫的後端伺服器證書。 啟用 SSL 憑證指紋和名稱驗證,以改善 API 安全性。
嚴重性:中
不應啟用 APIM 直接管理端點
描述與相關原則:Azure 中的直接管理 REST API API 管理 會略過 Azure Resource Manager 角色型訪問控制、授權和節流機制,進而增加服務的弱點。
嚴重性:低
APIM API 應一律只使用加密通訊協定
描述與相關原則:API 只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 避免使用不安全的通訊協定,例如 HTTP 或 WS,以確保傳輸中的數據安全性。
嚴重性:高
APIM 祕密的具名值應儲存在 Azure Key Vault 中
描述與相關原則:具名值是每個 API 管理 服務中名稱和值組的集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密),或藉由參考 Azure Key Vault 中的祕密來儲存。 參考來自 Azure 金鑰保存庫 的秘密具名值,以改善 API 管理 和秘密的安全性。 Azure Key Vault 支援細微的存取管理和祕密輪替原則。
嚴重性:中
APIM 應停用服務組態端點的公用網路存取
描述與相關原則:若要改善 API 管理 服務的安全性,請限制服務組態端點的連線,例如直接存取管理 API、Git 組態管理端點或自我裝載網關組態端點。
嚴重性:中
APIM 的最低 API 版本應設定為 2019-12-01 或更新版本
描述與相關原則:若要防止服務秘密與只讀用戶共用,最低 API 版本應設定為 2019-12-01 或更高版本。
嚴重性:中
應驗證 APIM 對 API 後端的呼叫
描述與相關原則:從 API 管理 到後端的呼叫應該使用某種形式的驗證,無論是透過憑證還是認證。 不適用於 Service Fabric 後端。
嚴重性:中