Base de référence de sécurité Azure pour Gestion des API Azure

Cette base de référence de sécurité applique des conseils du benchmark de sécurité cloud Microsoft à Gestion des API Azure. Le benchmark de sécurité cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité cloud Microsoft et les conseils associés applicables à Gestion des API.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Les définitions Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines suggestions peuvent nécessiter un plan Microsoft Defender payant pour activer des scénarios particuliers de sécurité.

Profil de sécurité

Le profil de sécurité récapitule les comportements à fort impact de gestion des API, ce qui peut entraîner une augmentation des considérations de sécurité.

Sécurité réseau

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : sécurité réseau.

NS-1 : Établir des limites de segmentation du réseau

Fonctionnalités

Intégration du réseau virtuel

Description : le service prend en charge le déploiement dans le réseau virtuel privé du client. Pour plus d’informations, consultez Services qui peuvent être déployés dans un réseau virtuel.

Conseils de configuration : Déployer gestion des API à l’intérieur d’un réseau virtuel Azure, afin qu’il puisse accéder aux services principaux au sein du réseau. Le portail des développeurs et la passerelle Gestion des API peuvent être configurés pour être accessibles à partir d’Internet (externe) ou uniquement au sein du réseau virtuel (interne).

• Externe : la passerelle gestion des API et le portail des développeurs sont accessibles à partir de l’Internet public via un équilibreur de charge externe. La passerelle peut accéder aux ressources au sein du réseau virtuel.
  • Configuration du réseau virtuel externe
• Interne : la passerelle gestion des API et le portail des développeurs sont accessibles uniquement à partir du réseau virtuel via un équilibreur de charge interne. La passerelle peut accéder aux ressources au sein du réseau virtuel.
  • Configuration interne du réseau virtuel

Référence : Utiliser un réseau virtuel avec Gestion des API Azure

Prise en charge des groupes de sécurité réseau

Description : Le trafic réseau de service respecte l’attribution de règles de groupe de sécurité réseau (NSG) sur ses sous-réseaux. Pour en savoir plus, consultez la vue d’ensemble des groupes de sécurité réseau Azure.

Conseils de configuration : Déployez des groupes de sécurité réseau sur vos sous-réseaux Gestion des API pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles de groupe de sécurité réseau pour restreindre les ports ouverts de votre service (par exemple, empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). Par défaut, les GNS refusent tout trafic entrant, mais autorisent le trafic à partir du réseau virtuel et des équilibreurs de charge Azure.

Attention : lors de la configuration d’un groupe de sécurité réseau sur le sous-réseau Gestion des API, un ensemble de ports doit être ouvert. Si ces ports ne sont pas disponibles, Gestion des API risque de ne pas fonctionner correctement et d’être inaccessible.

Remarque : Configurer des règles de groupe de sécurité réseau pour gestion des API

Référence de configuration du réseau virtuel : Gestion des API

NS-2 : Sécuriser les services cloud avec des contrôles réseau

Fonctionnalités

Azure Private Link

Description : fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (pas à confondre avec le groupe de sécurité réseau ou le pare-feu Azure). Pour plus d’informations, consultez Qu’est-ce qu’Azure Private Link ?

Conseils de configuration : dans les cas où vous ne parvenez pas à déployer des instances gestion des API dans un réseau virtuel, vous devez plutôt déployer un point de terminaison privé pour établir un point d’accès privé pour ces ressources.

Remarque : Pour activer des points de terminaison privés, l’instance Gestion des API ne peut pas déjà être configurée avec un réseau virtuel externe ou interne. Une connexion de point de terminaison privé prend uniquement en charge le trafic entrant vers l’instance Gestion des API.

Référence : Se connecter en privé à gestion des API à l’aide d’un point de terminaison privé

Désactiver l’accès au réseau public

Description : Le service permet de désactiver l'accès au réseau public en utilisant une règle de filtrage ACL IP au niveau du service (et non un groupe de sécurité réseau ou un pare-feu Azure) ou en utilisant un commutateur à bascule Désactiver l'accès au réseau public. Pour plus d’informations, consultez NS-2 : Sécuriser les services cloud avec des contrôles réseau.

Conseils de configuration : Désactivez l’accès au réseau public à l’aide de la règle de filtrage de liste de contrôle d’accès IP sur les groupes de sécurité réseau affectés aux sous-réseaux du service ou un commutateur bascule pour l’accès au réseau public.

Remarque : Gestion des API prend en charge les déploiements dans un réseau virtuel, ainsi que le verrouillage des déploiements non basés sur le réseau avec un point de terminaison privé et la désactivation de l’accès au réseau public.

Reference : Désactiver l'accès au réseau public

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d’Azure Policy - Microsoft.ApiManagement :

NS-6 : Déployer le pare-feu d’applications web

Autres conseils pour NS-6

Pour protéger les API Web/HTTP critiques, configurez gestion des API au sein d’un réseau virtuel en mode interne et configurez une passerelle Azure Application Gateway. Application Gateway est un service PaaS. Il agit en tant que proxy inverse et fournit l’équilibrage de charge L7, le routage, le pare-feu d’applications web (WAF) et d’autres services. Pour plus d’informations, consultez Intégrer la gestion des API dans un réseau virtuel interne à Application Gateway.

La combinaison de gestion des API provisionnée dans un réseau virtuel interne avec le serveur frontal Application Gateway active les scénarios suivants :

• Utilisez une seule ressource Gestion des API pour exposer toutes les API aux consommateurs internes et aux consommateurs externes.
• Utilisez une même ressource de gestion des API pour exposer un sous-réseau d’API aux utilisateurs externes.
• Fournir un moyen d'activer et de désactiver l’accès à la gestion des API depuis l’internet public.

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

IM-1 : Utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Authentification Microsoft Entra requise pour l’accès au plan de données

Description: le service prend en charge l’utilisation de l’authentification Microsoft Entra pour l’accès au plan de données. Pour en savoir plus, consultez Qu’est-ce que l’authentification Microsoft Entra ?

Conseils de configuration : Utilisez l’ID Microsoft Entra comme méthode d’authentification par défaut pour Gestion des API, le cas échéant.

• Configurez votre portail des développeurs Gestion des API pour authentifier les comptes de développeur à l’aide de l’ID Microsoft Entra.
• Configurez votre instance Gestion des API pour protéger vos API à l’aide du protocole OAuth 2.0 avec l’ID Microsoft Entra.

Référence : Protéger une API dans Gestion des API Azure à l’aide de l’autorisation OAuth 2.0 avec Microsoft Entra ID

Méthodes d’authentification locales pour l’accès au plan de données

Description : Méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur local et un mot de passe. Pour plus d’informations, consultez Authentification et autorisation.

Notes de fonctionnalité : Évitez l’utilisation des méthodes d’authentification locales ou des comptes, celles-ci doivent être désactivées dans la mesure du possible. Utilisez plutôt l’ID Microsoft Entra pour s’authentifier le cas échéant.

Conseils de configuration : restreindre l’utilisation des méthodes d’authentification locales pour l’accès au plan de données. Conservez l’inventaire des comptes d'utilisateur de la gestion des API et rapprochez l’accès en fonction des besoins. Dans Gestion des API, les développeurs sont les consommateurs des API exposées avec Gestion des API. Par défaut, les comptes de développeur nouvellement créés sont actifs et associés au groupe Développeurs. Les comptes de développeur qui se trouvent dans un état actif peuvent être utilisés pour accéder à toutes les API pour lesquelles ils ont des abonnements.

En outre, les abonnements à la gestion des API constituent un moyen de sécuriser l’accès aux API et comprennent une paire de clés d’abonnement générées, qui prennent en charge la rotation.

Au lieu d’utiliser d’autres méthodes d’authentification, dans la mesure du possible, utilisez l’ID Microsoft Entra comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données.

Référence : Référence de la stratégie de gestion des API

IM-3 : gérer les identités d’application de façon sécurisée et automatique

Fonctionnalités

Identités gérées

Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. Pour en savoir plus, consultez Qu’est-ce que les identités managées pour les ressources Azure ?

Conseils de configuration : Utilisez une identité de service managée générée par l’ID Microsoft Entra pour permettre à votre instance gestion des API d’accéder facilement et en toute sécurité à d’autres ressources protégées par Microsoft Entra, telles qu’Azure Key Vault, au lieu d’utiliser des principaux de service. Les identifiants d’identité gérés sont entièrement gérés, rotés et protégés par la plateforme, ce qui évite les identifiants codés en dur dans le code source ou les fichiers de configuration.

Référence : Référence de la stratégie de gestion des API

Principaux de service

Description : le plan de données prend en charge l’authentification à l’aide des principaux de service. Pour plus d’informations, consultez Créer un principal de service Azure avec Azure PowerShell.

Conseils de configuration : Il n’existe aucun guide Microsoft actuel pour cette configuration de fonctionnalité. Analysez et décidez si votre organisation souhaite activer cette fonctionnalité de sécurité.

MESSAGERIE INSTANTANÉE 5 : Utiliser l’authentification unique (SSO) pour l’accès aux applications

Autres conseils pour IM-5

La gestion des API Azure peut être configurée pour utiliser l’ID Microsoft Entra en tant que fournisseur d’identité pour authentifier les utilisateurs sur le portail des développeurs afin de bénéficier des fonctionnalités d’authentification unique offertes par Microsoft Entra. Une fois configurés, les nouveaux utilisateurs du portail des développeurs peuvent choisir de suivre le processus d’inscription prête à l’emploi en s’authentifiant d’abord via Microsoft Entra, puis en effectuant le processus d’inscription sur le portail une fois authentifiés.

Le processus de connexion ou d’inscription peut également être personnalisé par le biais de la délégation. La délégation vous permet d’utiliser votre site web existant pour gérer les connexions/inscriptions des développeurs et l’abonnement aux produits au lieu de faire appel aux fonctionnalités intégrées du portail des développeurs. Elle permet à votre site web de conserver les données utilisateur et de valider ces étapes de façon personnalisée.

IM-7 : Restreindre l’accès aux ressources selon des critères spécifiques.

Fonctionnalités

Accès conditionnel pour le plan de données

Description : l’accès au plan de données peut être contrôlé à l’aide des stratégies d’accès conditionnel Microsoft Entra. Pour plus d’informations, consultez Qu’est-ce que l’accès conditionnel ?

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

IM-8 : Restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Les identifiants et secrets du service prennent en charge l’intégration et le stockage dans Azure Key Vault.

Description : le plan de données prend en charge l’utilisation native d’Azure Key Vault pour les informations d’identification et le magasin de secrets. Pour en savoir plus, consultez À propos des secrets Azure Key Vault.

Conseils de configuration : Configurer l’intégration de gestion des API à Azure Key Vault. Assurez-vous que les secrets de gestion des API (valeurs nommées) sont stockés dans un coffre de clés Azure afin qu’ils soient accessibles et mis à jour en toute sécurité.

Référence : Utiliser des valeurs nommées dans les stratégies de gestion des API Azure avec l’intégration de Key Vault

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d’Azure Policy - Microsoft.ApiManagement :

Accès privilégié

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.

PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs

Fonctionnalités

Comptes d’administrateur local

Description : le service a le concept d’un compte d’administration local. Pour en savoir plus, consultez Séparer et limiter les utilisateurs hautement privilégiés/administratifs.

Notes de fonctionnalité : Évitez l’utilisation des méthodes d’authentification locales ou des comptes, celles-ci doivent être désactivées dans la mesure du possible. Privilégiez l’utilisation de Microsoft Entra ID pour l’authentification chaque fois que cela est possible.

Conseils de configuration : s’il n’est pas nécessaire pour les opérations administratives de routine, désactivez ou limitez les comptes d’administrateur locaux uniquement pour une utilisation d’urgence.

Remarque : Gestion des API permet de créer un compte d’utilisateur local. Au lieu de créer ces comptes locaux, activez l’authentification Microsoft Entra uniquement et attribuez des autorisations à ces comptes d’ID Microsoft Entra.

Référence : Comment gérer les comptes d’utilisateur dans Gestion des API Azure

PA-7 : Suivez le principe d’administration suffisante (privilège minimum)

Fonctionnalités

RBAC Azure pour le plan de données

Description : Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?

Conseils de configuration : Utilisez Azure RBAC pour contrôler l’accès à Gestion des API. Gestion d'API s'appuie sur Azure RBAC pour permettre une gestion des accès affinée pour les services et entités de gestion des API (par exemple, les API et les stratégies).

Référence : Utilisation du contrôle d’accès en fonction du rôle dans Gestion des API Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d’Azure Policy - Microsoft.ApiManagement :

PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud

Fonctionnalités

Boîte sécurisée pour les clients

Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Pour en savoir plus, consultez Customer Lockbox pour Microsoft Azure.

Conseils de configuration : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.

Protection de données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-1 : Découvrir, classifier et étiqueter des données sensibles

Fonctionnalités

Découverte et classification des données sensibles

Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Pour plus d’informations, consultez Découvrir, classifier et étiqueter des données sensibles.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-2 : Surveiller les anomalies et les menaces ciblant les données sensibles

Fonctionnalités

Fuite de données/protection contre la perte

Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Pour plus d’informations, consultez Surveiller les anomalies et les menaces ciblant des données sensibles.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-3 : Chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : le service prend en charge le chiffrement en transit des données pour le plan de données. Pour en savoir plus, consultez Données en transit.

Conseils de configuration : aucune autre configuration n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Gérer les protocoles et les chiffrements dans Gestion des API Azure

Autres conseils pour DP-3

Les appels du plan de gestion sont effectués par Azure Resource Manager via TLS. Un jeton web JSON valide (JWT) est requis. Les appels de plan de données peuvent être sécurisés avec TLS et l’un des mécanismes d’authentification pris en charge (par exemple, certificat client ou JWT).

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d’Azure Policy - Microsoft.ApiManagement :

DP-4 : Activer le chiffrement de données au repos par défaut

Fonctionnalités

Chiffrement de données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Toutes les données client au repos sont chiffrées avec ces clés gérées par Microsoft. Pour en savoir plus, consultez Chiffrement au repos dans les services cloud Microsoft.

Notes de fonctionnalité : Les données client dans une instance gestion des API, notamment les paramètres d’API, les produits, les abonnements, les utilisateurs, les groupes et le contenu du portail des développeurs personnalisé, sont stockées dans une base de données SQL Azure et dans le Stockage Azure, qui chiffre automatiquement le contenu au repos.

Conseils de configuration : aucune autre configuration n’est requise, car elle est activée sur un déploiement par défaut.

DP-6 : Utiliser un processus de gestion des clés sécurisé

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés, secrets ou certificats du client. Pour en savoir plus, consultez À propos d’Azure Key Vault.

Conseils de configuration : Configurer l’intégration de gestion des API à Azure Key Vault. Assurez-vous que les clés utilisées par gestion des API sont stockées dans un coffre de clés Azure afin qu’elles soient accessibles et mises à jour en toute sécurité.

Référence : Conditions préalables à l’intégration du coffre de clés

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d’Azure Policy - Microsoft.ApiManagement :

DP-7 : Utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Pour en savoir plus, consultez Prise en main des certificats Key Vault.

Conseils de configuration : Configurer l’intégration de gestion des API à Azure Key Vault. Assurez-vous que les secrets de gestion des API (valeurs nommées) sont stockés dans un coffre de clés Azure afin qu’ils soient accessibles et mis à jour en toute sécurité.

Utilisez Azure Key Vault pour créer et contrôler le cycle de vie des certificats, notamment la création, l’importation, la rotation, la révocation, le stockage et le vidage du certificat. Vérifiez que la génération de certificat suit les normes définies sans utiliser de propriétés non sécurisées telles que : taille de clé, période de validité trop longue, chiffrement non sécurisé. Configurez la rotation automatique du certificat dans Azure Key Vault et le service Azure (si pris en charge) en fonction d’une planification définie ou en cas d’expiration de certificat. Si la rotation automatique n’est pas prise en charge dans l’application, assurez-vous qu’elles sont toujours pivotées à l’aide de méthodes manuelles dans Azure Key Vault et dans l’application.

Référence : Sécuriser les services back-end à l’aide de l’authentification par certificat client dans Gestion des API Azure

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement les services approuvés

Fonctionnalités

Support d’Azure Policy

Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Pour en savoir plus, consultez Créer et gérer des stratégies pour appliquer la conformité.

Conseils de configuration : Utilisez Azure Policy intégré pour surveiller et appliquer une configuration sécurisée sur les ressources Gestion des API. Utilisez des alias Azure Policy dans l’espace de noms Microsoft.ApiManagement pour créer des définitions Azure Policy personnalisées si nécessaire.

Référence : Définitions de stratégie intégrées Azure Policy pour Gestion des API Azure

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Journalisation et détection des menaces.

LT-1 : Activer les fonctionnalités de détection des menaces

Fonctionnalités

Offre Microsoft Defender de service/produit

Description : Le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour cloud ?

Conseils de configuration : Microsoft Defender pour LES API, une fonctionnalité de Microsoft Defender pour cloud, offre une protection complète du cycle de vie, la détection et la couverture de réponse pour les API gérées dans Gestion des API Azure.

L’intégration d’API à Defender pour les API est un processus en deux étapes : activation du plan Defender pour les API pour l’abonnement et intégration d’API non protégées dans vos instances de Gestion des API.  

Affichez un résumé de toutes les recommandations et alertes de sécurité pour les API intégrées en sélectionnant Microsoft Defender pour Cloud dans le menu de votre instance Gestion des API.

Référence : Activer les fonctionnalités avancées de sécurité des API à l’aide de Microsoft Defender pour Cloud

LT-4 : Activer la journalisation pour l’enquête de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à leur propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Pour plus d’informations, consultez les sources de données Azure Monitor et les méthodes de collecte de données.

Conseils de configuration : Activez les journaux de ressources pour gestion des API, les journaux de ressources fournissent des informations détaillées sur les opérations et les erreurs importantes à des fins d’audit et de résolution des problèmes. Les catégories de journaux de ressources pour Gestion des API sont les suivantes :

• GatewayLogs
• WebSocketConnectionLogs

Référence : journaux des ressources

Sauvegarde et récupération

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatisées régulières

Fonctionnalités

Azure Backup

Description : le service peut être sauvegardé par le service Sauvegarde Azure. Pour plus d’informations, consultez Qu’est-ce que le service Sauvegarde Azure ?

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Fonctionnalité de sauvegarde native du service

Description : le service prend en charge sa propre fonctionnalité de sauvegarde native (si elle n’utilise pas Sauvegarde Azure). Pour plus d’informations, consultez Garantir des sauvegardes automatisées régulières.

Conseils supplémentaires : Utilisez les fonctionnalités de sauvegarde et de restauration dans le service Gestion des API. Lorsque vous utilisez des fonctionnalités de sauvegarde, Gestion des API écrit des sauvegardes dans des comptes de stockage Azure appartenant au client. Les opérations de sauvegarde et de restauration sont fournies par Gestion des API pour effectuer une sauvegarde et une restauration complètes du système.

Référence : Comment implémenter la récupération d’urgence à l’aide de la sauvegarde et de la restauration de service dans Gestion des API Azure

Contenu connexe

• Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
• En savoir plus sur les bases de référence de sécurité Azure