Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran todas las recomendaciones de seguridad de API/API Management que puede ver en Microsoft Defender for Cloud.
Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada. Puede ver las recomendaciones en el portal que se aplican a los recursos.
Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Remediate recommendations in Defender for Cloud.
recomendaciones de API de Azure
Microsoft Defender para las API deben estar habilitadas
Description y directiva relacionada: habilite la Defender para las API planea detectar y proteger los recursos de API contra ataques y configuraciones incorrectas de seguridad. Más información
Gravedad: alta
Azure API Management API deben incorporarse a Defender para las API
Description y directiva relacionada: la incorporación de API a Defender para las API requiere el uso de proceso y memoria en el servicio Azure API Management. Supervise el rendimiento del servicio de Azure API Management al incorporar las API y escale horizontalmente los recursos de Azure API Management según sea necesario.
Gravedad: alta
Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management
Description y directiva relacionada: como procedimiento recomendado de seguridad, los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y deben quitarse del servicio Azure API Management. Mantener los puntos de conexión de API sin usar podría suponer un riesgo de seguridad. Podrían tratarse de API que deberían haber quedado en desuso del servicio Azure API Management, pero que se han dejado activas accidentalmente. Normalmente, estas API no reciben la cobertura de seguridad más up-to-date.
Gravedad: baja
Los puntos de conexión de API de Azure API Management deben autenticarse
Description y directiva relacionada: los puntos de conexión de API publicados en Azure API Management deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. En el caso de las API publicadas en Azure API Management, esta recomendación evalúa la autenticación mediante la comprobación de la presencia de claves de suscripción de Azure API Management para las API o productos en los que se requiere la suscripción y la ejecución de directivas para validar JWT, certificadosclient y tokens Microsoft Entra. Si ninguno de estos mecanismos de autenticación se ejecuta durante la llamada API, la API recibirá esta recomendación.
Gravedad: alta
Los puntos de conexión de API sin usar deben deshabilitarse y quitarse de Function Apps (versión preliminar)
Descripción y directiva relacionada: los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y suponen un riesgo de seguridad potencial. Es posible que estos puntos de conexión se hayan dejado activos accidentalmente cuando deban haber quedado en desuso. A menudo, los puntos de conexión de API sin usar carecen de las últimas actualizaciones de seguridad, por lo que son vulnerables. Para evitar posibles infracciones de seguridad, se recomienda deshabilitar y quitar estos puntos de conexión desencadenados por HTTP de Azure Function Apps.
Gravedad: baja
Los puntos de conexión de API sin usar deben deshabilitarse y quitarse de Logic Apps (versión preliminar)
Descripción y directiva relacionada: los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y suponen un riesgo de seguridad potencial. Es posible que estos puntos de conexión se hayan dejado activos accidentalmente cuando deban haber quedado en desuso. A menudo, los puntos de conexión de API sin usar carecen de las últimas actualizaciones de seguridad, por lo que son vulnerables. Para evitar posibles infracciones de seguridad, se recomienda deshabilitar y quitar estos puntos de conexión de Azure Logic Apps.
Gravedad: baja
La autenticación debe estar habilitada en los puntos de conexión de API hospedados en Function Apps (versión preliminar)
Description y directiva relacionada: los puntos de conexión de API publicados en Azure Function Apps deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. Esto es fundamental para evitar el acceso no autorizado y posibles infracciones de datos. Sin la autenticación adecuada, se podrían exponer datos confidenciales, lo que pone en peligro la seguridad del sistema.
Gravedad: alta
La autenticación debe estar habilitada en los puntos de conexión de API hospedados en Logic Apps (versión preliminar)
Description y directiva relacionada: los puntos de conexión de API publicados en Azure Logic Apps deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. Esto es fundamental para evitar el acceso no autorizado y posibles infracciones de datos. Sin la autenticación adecuada, se podrían exponer datos confidenciales, lo que pone en peligro la seguridad del sistema.
Gravedad: alta
Recomendaciones de API Management
Las suscripciones de API Management no deben tener como ámbito todas las API
Descripción y directiva relacionada: las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos.
Gravedad: media
Las llamadas de API Management a back-end de API no deben omitir la huella digital del certificado ni la validación de nombres.
Descripción y directiva relacionada: API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres para mejorar la seguridad de la API.
Gravedad: media
No se debe habilitar el punto de conexión de administración directa de API Management
Description y directiva relacionada: la API REST de administración directa en Azure API Management omite Azure Resource Manager mecanismos de control de acceso, autorización y limitación basados en rol, lo que aumenta la vulnerabilidad del servicio.
Gravedad: baja
Las API de API Management solo deben usar protocolos cifrados
Descripción y directiva relacionada: las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite el uso de protocolos no seguros, como HTTP o WS para garantizar la seguridad de los datos en tránsito.
Gravedad: alta
Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault
Descripción y directiva relacionada: los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o haciendo referencia a secretos en Azure Key Vault. Haga referencia a los valores con nombre del secreto de Azure Key Vault para mejorar la seguridad de API Management y los secretos. Azure Key Vault admite directivas granulares de administración de acceso y rotación de secretos.
Gravedad: media
API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio
Descripción y directiva relacionada: para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración de acceso directo, el punto de conexión de administración de configuración de Configuración de Git o los puntos de conexión de configuración de puertas de enlace autohospedados.
Gravedad: media
La versión mínima de API Management debería establecerse en 01-12-2019 o superior
Descripción y directiva relacionada: para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 2019-12-01 o superior.
Gravedad: media
Las llamadas de API Management a las back-end de API deberían autenticarse
Descripción y directiva relacionada: las llamadas de API Management a los back-end deben usar algún tipo de autenticación, ya sea a través de certificados o credenciales. No se aplica a los back-end de Service Fabric.
Gravedad: media