Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El plan Defender Cloud Security Posture Management (CSPM) en Microsoft Defender for Cloud le ofrece una vista completa de las API en Azure API Management, Function Apps y Logic Apps. Ayuda a mejorar la seguridad de las API, ya que busca configuraciones incorrectas y vulnerabilidades. En este artículo se explica cómo habilitar la administración de la posición de seguridad de la API en el plan de Defender CSPM y evaluar la seguridad de la API. Defender CSPM incorpora LAS API sin un agente y comprueba periódicamente los riesgos y la exposición de datos confidenciales. Proporciona información sobre las prioridades de los riesgos y su mitigación a través de recomendaciones de seguridad y análisis de rutas de acceso a ataques de API.
Nota:
Las funcionalidades de detección de API y posición de seguridad de Microsoft Defender for Cloud ahora también admiten Function Apps y Logic Apps. Esta característica está disponible actualmente en versión preliminar.
Requisitos previos
- Obtenga información sobre Cómo mejorar la posición de seguridad de la API.
- Necesita una suscripción de Microsoft Azure. Si aún no tiene una, puede registrarse para obtener una suscripción gratuita.
- Habilite Defender for Cloud en la suscripción de Azure.
- Habilite Defender Cloud Security Posture Management (CSPM) en la suscripción de Azure.
- El propietario de la suscripción debe habilitar el plan CSPM para acceder a todas las características.
- Asegúrese de que las API que desea proteger se implementan en Azure API Management, Function Apps o Logic Apps.
Compatibilidad de nubes y regiones
Api Security Posture Management en Defender CSPM está disponible en la nube comercial Azure, en las siguientes regiones:
- Asia (Sudeste asiático, Este de Asia)
- Australia (Este de Australia, Sudeste de Australia, Centro de Australia, Centro de Australia 2)
- Brasil (Sur de Brasil, Sudeste de Brasil)
- Canadá (Centro de Canadá, Este de Canadá)
- Europa (Oeste de Europa, Norte de Europa)
- Francia (Centro de Francia, Sur de Francia)
- Alemania (Centro-oeste de Alemania, Norte de Alemania)
- India (Centro de la India, Sur de la India, Oeste de la India)
- Italia (Norte de Italia)
- Japón (Japón Oriental, Japón Occidental)
- Corea (Centro de Corea, Sur de Corea del Sur)
- Noruega (Este de Noruega, Oeste de Noruega)
- Sudáfrica (Norte de Sudáfrica, Oeste de Sudáfrica)
- Suecia (Centro de Suecia, Sur de Suecia)
- Suiza (Norte de Suiza, Oeste de Suiza)
- Reino Unido (Sur de Reino Unido, Oeste de Reino Unido)
- EE.UU. (Este de EE. UU., Este de EE. UU. 2, Oeste de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Centro-oeste de EE. UU., Este de EE. UU. 2 EUAP, Centro de EE. UU. EUAP)
Revise la información de soporte en la nube más reciente para los planes y características de Defender for Cloud en la matriz de soporte en la nube .
Compatibilidad con API
| Feature | Supported |
|---|---|
| Disponibilidad |
Azure API Management: Esta característica está disponible en los niveles Premium, Estándar, Básico y Desarrollador de Azure API Management. No admite las API que se exponen a través de la puerta de enlace autohospedada de API Management ni se administran a través de áreas de trabajo de API Management. App de Azure Services: Los niveles de hospedaje compatibles Azure Function App incluyen Premium, Elastic Premium, Dedicated (App Service) y App Service Environment (ASE). Para Azure Logic Apps, los niveles admitidos incluyen Standard (de un solo inquilino) y App Service Environment (ASE). Las aplicaciones de funciones de nivel de consumo, las aplicaciones lógicas de nivel de consumo y las aplicaciones lógicas habilitadas por Azure Arc no son compatibles. |
| Tipos de API | Solo se admite soporte para API REST. |
Habilitación de la extensión de la administración de la posición de seguridad de la API
Inicie sesión en el portal Azure.
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Seleccione la suscripción correspondiente.
Busque el plan de Defender CSPM y seleccione Settings.
Habilitación de la administración de la posición de seguridad de las API.
Selecciona Continuar.
Seleccione Guardar.
Aparece un mensaje de notificación que confirma que la configuración se guardó correctamente. Una vez habilitada, las API inician la incorporación y aparecen en el inventario de Defender for Cloud en unas pocas horas.
Visualización del inventario de API
Las API incorporadas al plan de Defender CSPM aparecen en el panel de seguridad de API en Protección de carga de trabajo y Microsoft Defender for Cloud Inventory.
Vaya a la sección Cloud Security del menú Defender for Cloud y seleccione seguridad de API en Protecciones avanzadas de cargas de trabajo.
El panel muestra el número de API incorporadas, desglosadas por colecciones de API, puntos de conexión y servicios Azure API Management. Incluye un resumen de las APIs incorporadas para la cobertura de seguridad de detección de amenazas mediante el sistema de protección de carga de trabajo de Defender para APIs.
Aplique el filtro Defender plan == Defender CSPM para ver las API incorporadas al plan de Defender CSPM.
Selecciona Aceptar.
Seleccione una operación de API de interés para revisar los resultados de seguridad de operaciones de API específicas.
Conclusiones detalladas del punto de conexión de API
Tipo de información confidencial: proporciona detalles sobre la información confidencial expuesta en las rutas de acceso de la dirección URL de la API, los parámetros de consulta, los cuerpos de las solicitudes y los cuerpos de las respuestas en función de los tipos de datos admitidos, junto con el origen del tipo de información encontrado.
Información adicional: en el caso de los cuerpos de respuesta de api, este campo muestra qué códigos de respuesta HTTP contenían información confidencial (como 2xx, 3xx, 4xx).
Examine los resultados de la posición de seguridad de las API, junto con el inventario de API, en la experiencia del inventario de Microsoft Defender for Cloud.
Nota:
La exposición a datos confidenciales no se examina si la extensión de detección de datos confidenciales no está habilitada. Para buscar información confidencial en las API, debe habilitar la detección de datos confidenciales. Esta configuración solo afecta a las API incorporadas al plan de Defender CSPM. Si activas el plan de protección de carga de trabajo de Defender para APIs en las mismas APIs, se escanean en busca de datos sensibles.
Investigar las recomendaciones de seguridad de la API
Defender for Cloud evalúa continuamente los puntos de conexión de API para detectar vulnerabilidades y configuraciones incorrectas, incluidos los errores de autenticación y las API inactivas. Genera recomendaciones de seguridad con factores de riesgo asociados, como riesgos de exposición externa y confidencialidad de datos. Defender for Cloud calcula la importancia de las recomendaciones de seguridad en función de estos factores de riesgo. Más información sobre las recomendaciones de configuración de seguridad.
Para investigar las recomendaciones de una posición de seguridad de una API:
Vaya al menú principal de Defender for Cloud y seleccione Recommendations.
Seleccione el botón de alternancia Agrupar por título para organizar las recomendaciones.
Filtre por tipo de recurso (por ejemplo, operación de API Management o punto de conexión de API) o filtre por nombre de recomendación para restringir las recomendaciones relacionadas con la API para establecer como destino problemas de seguridad específicos de la API.
Consulte la sección APIs en la guía de referencia de recomendaciones de Defender for Cloud para obtener la lista completa de recomendaciones relacionadas con la API.
Exploración de los riesgos de la API y corrección con el análisis de rutas de acceso de ataque
Cloud Security Explorer le ayuda a identificar posibles riesgos de seguridad en su entorno de nube, para lo que debe consultar el gráfico de seguridad en la nube.
Inicie sesión en el portal Azure.
Vaya a Microsoft Defender for Cloud>Cloud Security Explorer.
Use la plantilla de consulta integrada para identificar rápidamente las API con información de seguridad.
Como alternativa, cree una consulta personalizada con Cloud Security Explorer para buscar los riesgos de la API y consultar los puntos de conexión de la API conectados al proceso de back-end o a los almacenes de datos. Por ejemplo, puede ver los puntos de conexión de API que enrutan el tráfico a máquinas virtuales con vulnerabilidades de código remoto.
El análisis de rutas de acceso a ataques en Defender for Cloud aborda los problemas de seguridad que suponen amenazas inmediatas para las aplicaciones y entornos en la nube. Identifique y corrija las rutas de acceso de ataque dirigidas por API para abordar los riesgos más críticos de las API que pueden amenazar considerablemente a su organización.
En el menú de Defender for Cloud, vaya a Análisis de ruta de acceso .
Filtre por el tipo de recurso Operación de API Management para investigar las rutas de acceso de ataque relacionadas con las API.
Vea las recomendaciones de seguridad de los puntos de conexión de la API en el ámbito y corrija las recomendaciones para proteger las API de las superficies expuestas a ataques de alto riesgo.
Protección de la posición de seguridad de la API de retirada
No puede retirar las API individuales que forman parte del plan de Defender CSPM. Para retirar todas las API del plan de Defender CSPM, vaya a la página Configuración del plan de Defender CSPM y deshabilite la extensión de la posición de la API.
Seleccione Continuar y, después, Guardar para confirmarlo. Esta acción quita todas las API del plan de Defender CSPM y la gestión de la posición de seguridad de las API está deshabilitada.
Contenido relacionado
- Supervise las amenazas de API mediante Defender para la protección de cargas de trabajo de API.