Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Esta línea base de seguridad se basa en una versión anterior de Microsoft Cloud Security Benchmark (v1.0) y puede contener instrucciones obsoletas. Para obtener las instrucciones de seguridad más recientes, consulte la documentación de API Management.
Esta base de seguridad aplica directrices del Microsoft cloud security benchmark a Azure API Management. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a API Management.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se enumeran en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se excluyen las características no aplicables a API Management. Para ver cómo API Management se relaciona completamente con el punto de referencia de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea base de seguridad de API Management.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de API Management, lo que podría dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría de producto | La web |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena datos de cliente en reposo | Falso |
Seguridad de red
Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada del cliente. Para más información, consulte Servicios que se pueden implementar en una red virtual.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente API Management dentro de una instancia de Azure Virtual Network para que pueda acceder a los servicios de back-end dentro de la red. El portal para desarrolladores y la puerta de enlace de API Management se pueden configurar para que sean accesibles desde Internet (externo) o solo dentro de la red virtual (interna).
- Externo: la puerta de enlace de API Management y el portal para desarrolladores son accesibles desde la red pública de Internet a través de un equilibrador de carga externo. La puerta de enlace puede acceder a los recursos dentro de la red virtual.
- Interno: la puerta de enlace de API Management y el portal para desarrolladores solo son accesibles desde dentro de la red virtual a través de un equilibrador de carga interno. La puerta de enlace puede acceder a los recursos dentro de la red virtual.
Referencia: Uso de una red virtual con Azure API Management
Soporte para grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas del grupo de seguridad de red (NSG) en sus subredes. Para más información, consulte Introducción a los grupos de seguridad de red de Azure.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente grupos de seguridad de red en las subredes de API Management para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Por defecto, los NSGs (grupos de seguridad de red) deniegan todo el tráfico entrante, pero permiten tráfico desde la red virtual y los equilibradores de carga de Azure.
Precaución: al configurar un Grupo de Seguridad de Red en la subred de la API Management, es necesario abrir un conjunto de puertos. Si alguno de estos puertos no está disponible, API Management podría no funcionar correctamente y podría ser inaccesible.
Nota: Configuración de reglas de NSG para API Management
Referencia: Referencia de configuración de red virtual: API Management
NS-2: Protección de servicios en la nube con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Para más información, consulte ¿Qué es Azure Private Link?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: en instancias en las que no se pueden implementar instancias de API Management en una red virtual, en su lugar debe implementar un punto de conexión privado para establecer un punto de acceso privado para esos recursos.
Nota: Para habilitar puntos de conexión privados, la instancia de API Management aún no se puede configurar con una red virtual externa o interna. Una conexión de extremo privado solo admite el tráfico entrante a la instancia de API Management.
Referencia: Conexión privada a API Management mediante un punto de conexión privado
Deshabilitar acceso de red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública ya sea mediante el uso de una regla de filtrado de ACL de IP a nivel de servicio (no NSG o Azure Firewall) o mediante un conmutador llamado Deshabilitar acceso a la red pública. Para más información, consulte NS-2: Protección de servicios en la nube con controles de red.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP en los NSGs asignados a las subredes del servicio o utilizando un interruptor de conmutación para el acceso a la red pública.
Nota: API Management admite implementaciones en una red virtual, así como bloquear implementaciones no basadas en red con un punto de conexión privado y deshabilitar el acceso a la red pública.
Reference: Deshabilitar el acceso a la red pública
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Auditar, Denegar, Deshabilitado | 1.0.2 |
NS-6: Implementación de un firewall de aplicaciones web
Otras instrucciones para NS-6
Para proteger las API web o HTTP críticas, configure API Management dentro de una red virtual en modo interno y configure una instancia de Azure Application Gateway. Application Gateway es un servicio PaaS. Actúa como proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios. Para obtener más información, consulte Integrar API Management en una red virtual interna con Application Gateway.
La combinación de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los escenarios siguientes:
- Use un único recurso de API Management para exponer todas las API a consumidores internos y consumidores externos.
- Use un único recurso de API Management para exponer un subconjunto de API a consumidores externos.
- Proporcionar una manera de activar y desactivar el acceso a API Management desde la internet pública.
Administración de identidades
Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Microsoft Entra necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Microsoft Entra para el acceso al plano de datos. Para más información, consulte ¿Qué es la autenticación de Microsoft Entra?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Microsoft Entra ID como método de autenticación predeterminado para API Management siempre que sea posible.
- Configure el portal para desarrolladores de API Management para autenticar las cuentas de desarrollador mediante el identificador de Microsoft Entra.
- Configure su instancia de API Management para proteger sus API mediante el protocolo OAuth 2.0 con Microsoft Entra ID.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Para obtener más información, consulte autenticación y autorización.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use el identificador de Entra de Microsoft para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. Mantenga el inventario de las cuentas de usuario de API Management y concilie el acceso según sea necesario. En API Management, los desarrolladores son los consumidores de las API que se exponen con API Management. De forma predeterminada, las cuentas de desarrollador recién creadas están activas y están asociadas al grupo Desarrolladores. Las cuentas de desarrollador que se encuentran en un estado activo se pueden usar para acceder a todas las API para las que tienen suscripciones.
Además, las suscripciones de API Management son un medio de proteger el acceso a las API y vienen con un par de claves de suscripción generadas, que admiten la rotación.
En lugar de usar otros métodos de autenticación, siempre que sea posible, use Microsoft Entra ID como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Guía de políticas de gestión de API
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use una identidad de servicio administrada generada por microsoft Entra ID para permitir que la instancia de API Management acceda fácilmente y de forma segura a otros recursos protegidos por Microsoft Entra, como Azure Key Vault en lugar de usar entidades de servicio. Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Referencia: Guía de políticas de gestión de API
Principales del servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Para más información, consulte Creación de una entidad de servicio de Azure con Azure PowerShell.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-5: Uso del inicio de sesión único (SSO) para el acceso a aplicaciones
Otras instrucciones para IM-5
Azure API Management se puede configurar para usar microsoft Entra ID como proveedor de identidades para autenticar a los usuarios en el portal para desarrolladores con el fin de beneficiarse de las funcionalidades de SSO que ofrece Microsoft Entra. Una vez configurado, los nuevos usuarios del portal para desarrolladores pueden optar por seguir el proceso de registro preconfigurado mediante la autenticación a través de Microsoft Entra y, a continuación, completar el proceso de registro en el portal una vez autenticado.
Como alternativa, el proceso de inicio de sesión o registro se puede personalizar aún más mediante la delegación. La delegación le permite usar el sitio web existente para controlar el inicio de sesión o registro del desarrollador y la suscripción a productos, en lugar de usar la funcionalidad integrada en el portal para desarrolladores. Permite que su sitio web posea los datos de usuario y realice la validación de estos pasos de forma personalizada.
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Microsoft Entra. Para más información, consulte ¿Qué es el acceso condicional?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restringir la exposición de credenciales y secretos
Características
La integración y el almacenamiento de credenciales de servicio y secretos son compatibles con Azure Key Vault.
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Para más información, consulte Acerca de los secretos de Azure Key Vault.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que los secretos de API Management (valores con nombre) se almacenan en una instancia de Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Referencia: Uso de valores denominados en políticas de Azure API Management con integración a Key Vault
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| La versión mínima de API Management debería establecerse en 01-12-2019 o superior | Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. | Auditar, Denegar, Deshabilitado | 1.0.1 |
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Para más información, consulte Separación y limitación de usuarios con privilegios elevados o administrativos.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use microsoft Entra ID para autenticarse siempre que sea posible.
Guía de configuración: si no es necesario para las operaciones administrativas rutinarias, deshabilite o restrinja las cuentas de administrador local solo para uso de emergencia.
Nota: API Management permite la creación de una cuenta de usuario local. En lugar de crear estas cuentas locales, habilite solo la autenticación de Microsoft Entra y asigne permisos a estas cuentas de Id. de Microsoft Entra.
Referencia: Administración de cuentas de usuario en Azure API Management
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Para más información, consulte ¿Qué es el control de acceso basado en rol de Azure?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Utilice Azure RBAC para controlar el acceso a API Management. API Management se basa en Azure RBAC para habilitar la administración de acceso específica para servicios y entidades de API Management (por ejemplo, API y directivas).
Referencia: Uso del control de acceso basado en rol en Azure API Management
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las suscripciones de API Management no deben tener como ámbito todas las API | Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. | Auditar, Deshabilitado, Denegar | 1.1.0 |
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: La Customer Lockbox puede utilizarse para el acceso de soporte técnico de Microsoft. Para más información, consulte Lockbox del cliente para Microsoft Azure.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a sus datos, use Customer Lockbox para revisar y luego aprobar o rechazar las solicitudes de acceso a datos de Microsoft.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Para más información, consulte Detección, clasificación y etiquetado de datos confidenciales.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de fugas/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Para más información, consulte Supervisión de anomalías y amenazas dirigidas a datos confidenciales.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Para más información, consulte Datos en tránsito.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requiere ninguna otra configuración, ya que está habilitada en una implementación predeterminada.
Referencia: Administración de protocolos y cifrados en Azure API Management
Otras instrucciones para DP-3
Las llamadas del plano de administración se realizan a través de Azure Resource Manager a través de TLS. Se requiere un token web JSON válido (JWT). Las llamadas al plano de datos se pueden proteger con TLS y uno de los mecanismos de autenticación admitidos (por ejemplo, el certificado de cliente o JWT).
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las API de API Management solo deben usar protocolos cifrados | Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. | Auditar, Deshabilitado, Denegar | 2.0.2 |
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma. Los datos de los clientes en reposo se cifran con estas claves administradas por Microsoft. Para más información, consulte Cifrado en reposo en los servicios en la nube de Microsoft.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: los datos del cliente de una instancia de API Management, incluida la configuración de API, los productos, las suscripciones, los usuarios, los grupos y el contenido del portal para desarrolladores personalizados, se almacenan en una base de datos de SQL Azure y en Azure Storage, que cifra automáticamente el contenido en reposo.
Guía de configuración: no se requiere ninguna otra configuración, ya que está habilitada en una implementación predeterminada.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Para más información, consulte Acerca de Azure Key Vault.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que las claves usadas por API Management se almacenan en una instancia de Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Referencia: Requisitos previos para la integración de la bóveda de claves
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | Los valores denominados son una colección de pares de nombre y valor en cada servicio de gestión de API. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y los secretos, referencie valores de nombre secreto desde Azure Key Vault. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos. | Auditar, Deshabilitado, Denegar | 1.0.2 |
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Para más información, consulte Introducción a los certificados de Key Vault.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que los secretos de API Management (valores con nombre) se almacenan en una instancia de Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez excesivamente largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que todavía se rotan mediante métodos manuales en Azure Key Vault y la aplicación.
Administración de recursos
Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Para más información, consulte Creación y administración de directivas para aplicar el cumplimiento.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Use Azure Policy integrado para supervisar y aplicar la configuración segura en los recursos de Administración de API. Use alias de Azure Policy en el espacio de nombres Microsoft.ApiManagement para crear definiciones personalizadas de Azure Policy cuando sea necesario.
Referencia: Definiciones de directivas integradas de Azure Policy para Azure API Management
Registro y detección de amenazas
Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de Microsoft Defender para servicios y productos
Descripción: El servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Para obtener más información, consulte ¿Qué es Microsoft Defender for Cloud?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Microsoft Defender para API, una funcionalidad de Microsoft Defender for Cloud, ofrece protección completa del ciclo de vida, detección y cobertura de respuesta para las API que se administran en Azure API Management.
La incorporación de API a Defender para API es un proceso de dos pasos: habilitar el plan de Defender para API para la suscripción e incorporar API desprotegidas en las instancias de API Management.
Para ver un resumen de todas las recomendaciones y alertas de seguridad de las API incorporadas, seleccione Microsoft Defender for Cloud en el menú de la instancia de API Management.
Referencia: Habilitación de características avanzadas de seguridad de API mediante Microsoft Defender for Cloud
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Para más información, consulte Orígenes de datos de Azure Monitor y métodos de recopilación de datos.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos para API Management, los registros de recursos proporcionan información enriquecida sobre las operaciones y los errores que son importantes para la auditoría y la solución de problemas. Entre las categorías de registros de recursos de API Management se incluyen las siguientes:
- GatewayLogs
- WebSocketConnectionLogs
Referencia: Registros de recursos
Copia de seguridad y recuperación
Para obtener más información, consulte Pruebas comparativas de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Para más información, consulte ¿Qué es el servicio Azure Backup?
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Para más información, consulte Garantizar copias de seguridad automatizadas normales.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Instrucciones adicionales: use las funcionalidades de copia de seguridad y restauración en el servicio API Management. Al usar funcionalidades de copia de seguridad, API Management escribe copias de seguridad en cuentas de Azure Storage propiedad del cliente. API Management proporciona operaciones de copia de seguridad y restauración para realizar copias de seguridad y restauración completas del sistema.
Contenido relacionado
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure