Raccomandazioni sulla sicurezza di Gestione API/API

Questo articolo elenca tutte le raccomandazioni sulla sicurezza di Gestione API/API che potrebbero essere visualizzate in Microsoft Defender per il cloud.

Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata. È possibile visualizzare le raccomandazioni nel portale che si applicano alle risorse.

Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Remediate recommendations in Defender per il cloud.

Raccomandazioni per le API Azure

Microsoft Defender per le API deve essere abilitata

Description & criteri correlati: abilitare la Defender per le API pianificare l'individuazione e la protezione delle risorse API da attacchi e configurazioni errate della sicurezza. Ulteriori informazioni

Gravità: alta

Gestione API di Azure API devono essere caricate in Defender per le API

Description & criteri correlati: l'onboarding delle API per Defender per le API richiede l'utilizzo di calcolo e memoria nel servizio Gestione API di Azure. Monitorare le prestazioni del servizio Gestione API di Azure durante l'onboarding delle API e aumentare le istanze delle risorse Gestione API di Azure in base alle esigenze.

Gravità: alta

Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Gestione API di Azure

Description & criteri correlati: come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Potrebbero trattarsi di API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più up-todata.

Gravità: Bassa

Gli endpoint API in Gestione API di Azure devono essere autenticati

Description & criteri correlati: gli endpoint API pubblicati all'interno di Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Gestione API di Azure, questa raccomandazione valuta l'autenticazione verificando la presenza di chiavi di sottoscrizione Gestione API di Azure per API o prodotti in cui è necessaria la sottoscrizione e l'esecuzione dei criteri per la convalida di JWT, client certificates e token Microsoft Entra. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione.

Gravità: alta

Gli endpoint API inutilizzati devono essere disabilitati e rimossi dalle app per le funzioni (anteprima)

Descrizione e criteri correlati: gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e rappresentano un potenziale rischio per la sicurezza. Questi endpoint potrebbero essere stati lasciati attivi accidentalmente quando dovrebbero essere stati deprecati. Spesso, gli endpoint API inutilizzati non dispongono degli aggiornamenti della sicurezza più recenti, rendendoli vulnerabili. Per evitare potenziali violazioni della sicurezza, è consigliabile disabilitare e rimuovere questi endpoint attivati tramite HTTP da Azure App per le funzioni.

Gravità: Bassa

Gli endpoint API inutilizzati devono essere disabilitati e rimossi da App per la logica (anteprima)

Descrizione e criteri correlati: gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e rappresentano un potenziale rischio per la sicurezza. Questi endpoint potrebbero essere stati lasciati attivi accidentalmente quando dovrebbero essere stati deprecati. Spesso, gli endpoint API inutilizzati non dispongono degli aggiornamenti della sicurezza più recenti, rendendoli vulnerabili. Per evitare potenziali violazioni della sicurezza, è consigliabile disabilitare e rimuovere questi endpoint da App per la logica di Azure.

Gravità: Bassa

L'autenticazione deve essere abilitata negli endpoint API ospitati in App per le funzioni (anteprima)

Description & criteri correlati: gli endpoint API pubblicati in Azure App per le funzioni devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. Questo è fondamentale per impedire l'accesso non autorizzato e le potenziali violazioni dei dati. Senza l'autenticazione corretta, i dati sensibili potrebbero essere esposti, compromettendo la sicurezza del sistema.

Gravità: alta

L'autenticazione deve essere abilitata negli endpoint API ospitati in App per la logica (anteprima)

Description & criteri correlati: gli endpoint API pubblicati in App per la logica di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. Questo è fondamentale per impedire l'accesso non autorizzato e le potenziali violazioni dei dati. Senza l'autenticazione corretta, i dati sensibili potrebbero essere esposti, compromettendo la sicurezza del sistema.

Gravità: alta

Consigli di Gestione API

Le sottoscrizioni di Gestione API non devono avere come ambito tutte le API

Descrizione e criterio correlato: Gestione API le sottoscrizioni devono essere incluse in un prodotto o in una singola API anziché in tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati.

Gravità: medio

Le chiamate di Gestione API ai back-end API non devono ignorare l'identificazione personale del certificato o la convalida dei nomi

Descrizione e criterio correlato: Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida dei nomi per migliorare la sicurezza dell'API.

Gravità: medio

L'endpoint di gestione diretta di Gestione API non deve essere abilitato

Description & criteri correlati: l'API REST di gestione diretta in Gestione API di Azure ignora Azure Resource Manager meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo, aumentando così la vulnerabilità del servizio.

Gravità: Bassa

Le API Management API devono usare solo protocolli crittografati

Descrizione e criterio correlato: le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS, per garantire la sicurezza dei dati in transito.

Gravità: alta

I valori denominati del segreto di Gestione API devono essere archiviati in Azure Key Vault

Descrizione e criterio correlato: i valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Fare riferimento ai valori denominati del segreto da Azure Key Vault per migliorare la sicurezza di Gestione API e segreti. Azure Key Vault supporta criteri granulari di gestione degli accessi e rotazione dei segreti.

Gravità: medio

API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio

Descrizione e criteri correlati: per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione degli accessi diretti, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted.

Gravità: medio

API Management versione API minima deve essere impostata su 2019-12-01 o versione successiva

Descrizione e criterio correlato: per impedire la condivisione dei segreti del servizio con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva.

Gravità: medio

API Management le chiamate ai back-end dell'API devono essere autenticate

Descrizione e criteri correlati: le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Fabric del servizio.

Gravità: medio

Contenuto correlato

• Informazioni sulle raccomandazioni sulla sicurezza?
• Rivedere le raccomandazioni sulla sicurezza