Recommandations en matière de sécurité de gestion des API/API

Cet article répertorie toutes les recommandations de sécurité de gestion des API/API que vous pouvez voir dans Microsoft Defender for Cloud.

Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée. Vous pouvez voir les recommandations dans le portail qui s’appliquent à vos ressources.

Pour en savoir plus sur les actions que vous pouvez entreprendre en réponse à ces recommandations, consultez les recommandations Remediate dans Defender for Cloud.

recommandations d’API Azure

Microsoft Defender pour les API doivent être activées

Description & stratégie associée : activez l’Defender pour les API qui planifient la découverte et la protection des ressources d’API contre les attaques et les mauvaises configurations de sécurité. En savoir plus

Gravité : élevée

Gestion des API Azure API doivent être intégrées à Defender pour les API

Description & stratégie associée : l’intégration d’API à Defender pour les API nécessite l’utilisation du calcul et de la mémoire sur le service Gestion des API Azure. Surveillez les performances de votre service de Gestion des API Azure lors de l’intégration des API et effectuez un scale-out de vos ressources Gestion des API Azure en fonction des besoins.

Gravité : élevée

Les points de terminaison d’API non utilisés doivent être désactivés et supprimés du service Gestion des API Azure

Description & stratégie associée : en tant que bonne pratique de sécurité, les points de terminaison d'API qui n'ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation des points de terminaison d’API inutilisés peut présenter un risque de sécurité. Il peut s’agir d’API qui auraient dû être déconseillées à partir du service Gestion des API Azure, mais qui ont été accidentellement laissées actives. Ces API ne reçoivent généralement pas la couverture de sécurité la plus up-to-date.

Gravité : faible

Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés

Description & stratégie associée : les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour réduire les risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Pour les API publiées dans Gestion des API Azure, cette recommandation évalue l’authentification par le biais de la vérification de la présence de clés d’abonnement Gestion des API Azure pour les API ou les produits où l’abonnement est requis, ainsi que l’exécution de stratégies pour valider JWT, certificats client et jetons Microsoft Entra. Si aucun de ces mécanismes d’authentification n’est exécuté pendant l’appel d’API, l’API reçoit cette recommandation.

Gravité : élevée

Les points de terminaison d’API inutilisés doivent être désactivés et supprimés des applications de fonction (préversion)

Description & stratégie associée : les points de terminaison d’API qui n’ont pas reçu de trafic pendant 30 jours sont considérés comme inutilisés et présentent un risque potentiel de sécurité. Ces points de terminaison ont peut-être été laissés actifs accidentellement lorsqu’ils doivent être déconseillés. Souvent, les points de terminaison d’API inutilisés n’ont pas les dernières mises à jour de sécurité, ce qui les rend vulnérables. Pour éviter les violations de sécurité potentielles, nous vous recommandons de désactiver et de supprimer ces points de terminaison déclenchés par HTTP de Azure Function Apps.

Gravité : faible

Les points de terminaison d’API inutilisés doivent être désactivés et supprimés de Logic Apps (préversion)

Description & stratégie associée : les points de terminaison d’API qui n’ont pas reçu de trafic pendant 30 jours sont considérés comme inutilisés et présentent un risque potentiel de sécurité. Ces points de terminaison ont peut-être été laissés actifs accidentellement lorsqu’ils doivent être déconseillés. Souvent, les points de terminaison d’API inutilisés n’ont pas les dernières mises à jour de sécurité, ce qui les rend vulnérables. Pour empêcher les violations de sécurité potentielles, nous vous recommandons de désactiver et de supprimer ces points de terminaison de Azure Logic Apps.

Gravité : faible

L’authentification doit être activée sur les points de terminaison d’API hébergés dans Function Apps (préversion)

Description & stratégie associée : les points de terminaison d’API publiés dans Azure Function Apps doivent appliquer l’authentification pour réduire les risques de sécurité. Il est essentiel d’empêcher l’accès non autorisé et les violations de données potentielles. Sans authentification appropriée, les données sensibles peuvent être exposées, compromettant la sécurité du système.

Gravité : élevée

L’authentification doit être activée sur les points de terminaison d’API hébergés dans Logic Apps (préversion)

Description & stratégie associée : les points de terminaison d’API publiés dans Azure Logic Apps doivent appliquer l’authentification pour réduire le risque de sécurité. Il est essentiel d’empêcher l’accès non autorisé et les violations de données potentielles. Sans authentification appropriée, les données sensibles peuvent être exposées, compromettant la sécurité du système.

Gravité : élevée

Recommandations relatives à la gestion des API

Les abonnements Gestion des API ne doivent pas être limités à toutes les API

Description & stratégie associée : Gestion des API abonnements doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données.

Gravité : moyenne

Les appels gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation de nom

Description & stratégie associée : Gestion des API devez valider le certificat de serveur principal pour tous les appels d’API. Activez la validation du nom et l’empreinte numérique du certificat SSL pour améliorer la sécurité de l’API.

Gravité : moyenne

Le point de terminaison de gestion directe de gestion des API ne doit pas être activé

Description & stratégie associée : l’API REST de gestion directe dans Gestion des API Azure contourne Azure Resource Manager les mécanismes de contrôle d’accès, d’autorisation et de limitation en fonction du rôle, ce qui augmente la vulnérabilité de votre service.

Gravité : faible

Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés

Description & stratégie associée : les API doivent être disponibles uniquement par le biais de protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS pour garantir la sécurité des données en transit.

Gravité : élevée

Les valeurs nommées du secret Gestion des API doivent être stockées dans Azure Key Vault

Description & stratégie associée : les valeurs nommées sont une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées sous forme de texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Référencez les valeurs nommées des secrets de Azure Key Vault pour améliorer la sécurité de gestion des API et des secrets. Azure Key Vault prend en charge les stratégies de gestion des accès et de rotation des secrets granulaires.

Gravité : moyenne

Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service

Description & stratégie associée : Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration de service, comme l’API de gestion des accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergés.

Gravité : moyenne

La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure.

Description & stratégie associée : pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version minimale de l’API doit être définie sur 2019-12-01 ou version ultérieure.

Gravité : moyenne

Les appels de Gestion des API aux back-ends d’API doivent être authentifiés

Description & stratégie associée : les appels de Gestion des API aux back-ends doivent utiliser une forme d’authentification, que ce soit par le biais de certificats ou d’informations d’identification. Ne s'applique pas aux back-ends de service Fabric.

Gravité : moyenne

Contenu connexe

• En savoir plus sur les recommandations de sécurité ?
• Passer en revue les recommandations de sécurité