Important
このセキュリティ ベースラインは、以前のバージョンの Microsoft Cloud Security Benchmark (v1.0) に基づいており、古いガイダンスが含まれている可能性があります。 最新のセキュリティ ガイダンスについては、 API Management のドキュメントを参照してください。
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク のガイダンスを Azure API Management に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 その内容は、Microsoft クラウド セキュリティ ベンチマークと、API Management に適用できる関連ガイダンスによって定義されるセキュリティ コントロール別にグループ化されています。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連する Azure Policy 定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。
注
API Management に適用できない機能は除外されます。 API Management を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な API Management セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、API Management の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | Web |
| お客様は HOST/OS にアクセスできます | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | 正しい |
| 静止状態で顧客データを格納する | いいえ |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワークの統合
説明: サービスは、顧客のプライベート仮想ネットワークへのデプロイをサポートします。 詳細については、 仮想ネットワークにデプロイできるサービスに関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Virtual Network 内に API Management をデプロイして、ネットワーク内のバックエンド サービスにアクセスできるようにします。 開発者ポータルと API Management ゲートウェイは、インターネット (外部) から、または仮想ネットワーク内 (内部) 内でのみアクセスできるように構成できます。
- 外部: API Management ゲートウェイと開発者ポータルには、外部ロード バランサーを介してパブリック インターネットからアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。
- 内部: API Management ゲートウェイと開発者ポータルには、内部ロード バランサーを介して仮想ネットワーク内からのみアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。
リファレンス: Azure API Management で仮想ネットワークを使用する
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループ (NSG) ルールの割り当てを考慮します。 詳細については、 Azure ネットワーク セキュリティ グループの概要に関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: ネットワーク セキュリティ グループを API Management サブネットにデプロイして、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックは許可します。
注意: API Management サブネットで NSG を構成する場合は、一連のポートを開く必要があります。 これらのポートのいずれかが使用できない場合、API Management が正しく動作せず、アクセスできなくなる可能性があります。
注: API Management の NSG ルールを構成する
リファレンス: 仮想ネットワーク構成リファレンス: API Management
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
Features
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、「Azure Private Link とは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: API Management インスタンスを仮想ネットワークにデプロイできない場合は、代わりにプライベート エンドポイントをデプロイして、それらのリソースのプライベート アクセス ポイントを確立する必要があります。
注: プライベート エンドポイントを有効にするには、API Management インスタンスを外部または内部の仮想ネットワークで構成することはできません。 プライベート エンドポイント接続では、API Management インスタンスへの受信トラフィックのみがサポートされます。
リファレンス: プライベート エンドポイントを使用して API Management にプライベートに接続する
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) または [パブリック ネットワーク アクセスの無効化] トグル スイッチを使用して 、パブリック ネットワーク アクセスを無効に できます。 詳細については、「 NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: サービスのサブネットに割り当てられている NSG の IP ACL フィルタリング規則またはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
注: API Management は、仮想ネットワークへのデプロイをサポートするだけでなく、プライベート エンドポイントを使用してネットワークベース以外のデプロイをロックダウンし、パブリック ネットワーク アクセスを無効にします。
Reference: パブリックネットワークアクセスを無効にする
Microsoft Defender for Cloud による監視
Azure Policy の組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
Description | Effect(s) | バージョン (GitHub) |
|---|---|---|---|
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
NS-6: Web アプリケーション ファイアウォールをデプロイする
NS-6 のその他のガイダンス
重要な Web/HTTP API を保護するには、内部モードで仮想ネットワーク内で API Management を構成し、Azure Application Gateway を構成します。 Application Gateway は PaaS サービスです。 リバース プロキシとして機能し、L7 負荷分散、ルーティング、Web アプリケーション ファイアウォール (WAF)、およびその他のサービスを提供します。 詳細については、 内部仮想ネットワークの API Management と Application Gateway の統合に関するページを参照してください。
内部仮想ネットワークでプロビジョニングされた API Management と Application Gateway フロントエンドを組み合わせると、次のシナリオが可能になります。
- 1 つの API Management リソースを使用して、すべての API を内部コンシューマーと外部コンシューマーの両方に公開します。
- API のサブセットを外部コンシューマーに公開するには、単一の API Management リソースを使用します。
- パブリック インターネットから API Management へのアクセスをオンまたはオフに切り替える方法を提供します。
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
Features
データ プレーン アクセスに必要な Microsoft Entra 認証
説明: サービスでは、データ プレーン アクセスに Microsoft Entra 認証を使用できます。 詳細については、「Microsoft Entra 認証とは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 可能な場合は、API Management の既定の認証方法として Microsoft Entra ID を使用します。
- Microsoft Entra ID を使用して開発者アカウントを認証するように API Management 開発者ポータルを構成します。
- Microsoft Entra ID で OAuth 2.0 プロトコルを使用して API を保護するように API Management インスタンスを構成します。
リファレンス: Microsoft Entra ID で OAuth 2.0 承認を使用して Azure API Management の API を保護する
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、「認証および承認」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Microsoft Entra ID を使用して、可能な限り認証します。
構成ガイダンス: データ プレーン アクセスに対するローカル認証方法の使用を制限します。 API Management ユーザー アカウントのインベントリを維持し、必要に応じてアクセスを調整します。 API Management では、開発者は API Management で公開される API のコンシューマーです。 既定では、新しく作成された開発者アカウントは アクティブであり、開発者グループに関連付けられます。 アクティブな状態の開発者アカウントは、サブスクリプションを持つすべての API にアクセスするために使用できます。
また、API Management サブスクリプションは、API へのアクセスをセキュリティで保護する手段の 1 つであり、ローテーションをサポートする生成されたサブスクリプション キーのペアが付属しています。
他の認証方法を使用する代わりに、可能であれば、データ プレーン アクセスを制御するための既定の認証方法として Microsoft Entra ID を使用します。
リファレンス: API Management ポリシー リファレンス
IM-3: アプリケーション ID を安全かつ自動的に管理する
Features
管理されたアイデンティティー
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Entra ID によって生成されたマネージド サービス ID を使用すると、API Management インスタンスは、サービス プリンシパルを使用する代わりに、Azure Key Vault などの Microsoft Entra で保護された他のリソースに簡単かつ安全にアクセスできます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
リファレンス: API Management ポリシー リファレンス
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされます。 詳細については、 Azure PowerShell を使用した Azure サービス プリンシパルの作成に関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して判断します。
IM-5: アプリケーション アクセスにシングル サインオン (SSO) を使用する
IM-5 のその他のガイダンス
Microsoft Entra によって提供される SSO 機能の恩恵を受けるために、開発者ポータルでユーザーを認証するための ID プロバイダーとして Microsoft Entra ID を使用するように Azure API Management を構成できます。 構成が完了すると、新しい開発者ポータル ユーザーは、最初に Microsoft Entra 経由で認証し、認証後にポータルでサインアップ プロセスを完了することで、すぐに使用できるサインアップ プロセスに従うことを選択できます。
または、委任を使用して、サインイン/サインアップ プロセスをさらにカスタマイズすることもできます。 委任を使用すると、開発者ポータルの組み込み機能を使用するのではなく、開発者のサインイン/サインアップと製品へのサブスクリプションを処理するために既存の Web サイトを使用できます。 これにより、Web サイトはユーザー データを所有し、カスタムの方法でこれらの手順の検証を実行できます。
IM-7: 条件に基づいてリソースへのアクセスを制限する
Features
データ プレーンの条件付きアクセス
説明: データ プレーン アクセスは、Microsoft Entra 条件付きアクセス ポリシーを使用して制御できます。 詳細については、「条件付きアクセスとは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 適用なし | 適用なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
Features
サービス資格情報とシークレットは、Azure Key Vault での統合とストレージをサポートします
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vault のネイティブな使用がサポートされています。 詳細については、「 Azure Key Vault シークレットについて」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: API Management と Azure Key Vault の統合を設定します。 API Management のシークレット (名前付き値) が Azure Key Vault に格納されていることを確認して、安全にアクセスして更新できるようにします。
リファレンス: Key Vault 統合で Azure API Management ポリシーで名前付き値を使用する
Microsoft Defender for Cloud による監視
Azure Policy の組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
Description | Effect(s) | バージョン (GitHub) |
|---|---|---|---|
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
Features
ローカル管理者アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、「 高い特権を持つユーザーまたは管理ユーザーを分離して制限する」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Microsoft Entra ID を使用して、可能な限り認証します。
構成ガイダンス: 日常的な管理操作に必要ない場合は、緊急用途のみに使用できるようにローカル管理者アカウントを無効化または制限します。
注: API Management では、ローカル ユーザー アカウントを作成できます。 これらのローカル アカウントを作成する代わりに、Microsoft Entra 認証のみを有効にして、これらの Microsoft Entra ID アカウントにアクセス許可を割り当てます。
リファレンス: Azure API Management でユーザー アカウントを管理する方法
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
Features
データ プレーン用の Azure RBAC
説明: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、「Azure ロールベースのアクセス制御とは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure RBAC を使用して API Management へのアクセスを制御します。 API Management は、AZURE RBAC に依存して、API Management のサービスとエンティティ (API やポリシーなど) に対してきめ細かいアクセス管理を有効にします。
リファレンス: Azure API Management でロールベースのアクセス制御を使用する方法
Microsoft Defender for Cloud による監視
Azure Policy の組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
Description | Effect(s) | バージョン (GitHub) |
|---|---|---|---|
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、データが過剰に露出する恐れがあるすべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | 監査、無効、拒否 | 1.1.0 |
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
Features
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、 Microsoft Azure のカスタマー ロックボックスに関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、Microsoft の各データ アクセス要求を承認または拒否します。
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1: 機密データの検出、分類、ラベル付け
Features
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、 機密データの検出、分類、ラベル付けを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 適用なし | 適用なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データを対象とする異常と脅威を監視する
Features
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細については、 機密データを対象とする異常と脅威の監視に関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 適用なし | 適用なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
Features
転送中データの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、「 転送中のデータ」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、他の構成は必要ありません。
リファレンス: Azure API Management でプロトコルと暗号を管理する
DP-3 のその他のガイダンス
管理プレーンの呼び出しは、TLS 経由で Azure Resource Manager を介して行われます。 有効な JSON Web トークン (JWT) が必要です。 データ プレーン呼び出しは、TLS とサポートされている認証メカニズム (クライアント証明書や JWT など) で保護できます。
Microsoft Defender for Cloud による監視
Azure Policy の組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
Description | Effect(s) | バージョン (GitHub) |
|---|---|---|---|
| API Management APIs では暗号化されたプロトコルのみを使用する必要があります | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | 監査、無効、拒否 | 2.0.2 |
DP-4: 既定で保存データの暗号化を有効にする
Features
プラットフォーム キーを使用した静止データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。 保存されている顧客データは、これらの Microsoft マネージド キーを使用して暗号化されます。 詳細については、 Microsoft クラウド サービスでの保存時の暗号化に関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
機能ノート: API 設定、製品、サブスクリプション、ユーザー、グループ、カスタム開発者ポータル コンテンツを含む API Management インスタンスの顧客データは、SQL Azure データベースと Azure Storage に格納され、保存されているコンテンツが自動的に暗号化されます。
構成ガイダンス: 既定のデプロイで有効になっているので、他の構成は必要ありません。
DP-6: セキュリティで保護されたキー管理プロセスを使用する
Features
Azure Key Vault でのキー管理
説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細については、「 Azure Key Vault について」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: API Management と Azure Key Vault の統合を設定します。 API Management で使用されるキーが Azure Key Vault に格納されていることを確認して、安全にアクセスして更新できるようにします。
リファレンス: キー ボールト統合のための前提条件
Microsoft Defender for Cloud による監視
Azure Policy の組み込み定義 - Microsoft.ApiManagement:
| 名前 (Azure portal) |
Description | Effect(s) | バージョン (GitHub) |
|---|---|---|---|
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | 監査、無効、拒否 | 1.0.2 |
DP-7: セキュリティで保護された証明書管理プロセスを使用する
Features
Azure Key Vault での証明書の管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細については、「 Key Vault 証明書の概要」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: API Management と Azure Key Vault の統合を設定します。 API Management のシークレット (名前付き値) が Azure Key Vault に格納されていることを確認して、安全にアクセスして更新できるようにします。
Azure Key Vault を使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が長すぎ、暗号化が安全でないなど、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vault と Azure サービス (サポートされている場合) に証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。
リファレンス: Azure API Management でクライアント証明書認証を使用してバックエンド サービスをセキュリティで保護する
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、「ポリシーを 作成して管理してコンプライアンスを適用する」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 組み込みの Azure Policy を使用して、API Management リソース間でセキュリティで保護された構成を監視および適用します。 Microsoft.ApiManagement 名前空間の Azure Policy エイリアスを使用して、必要に応じてカスタム Azure Policy 定義を作成します。
リファレンス: Azure API Management 用の Azure Policy 組み込みポリシー定義
ログ記録と脅威の検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
Microsoft Defender for Service /製品オファリング
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、「Microsoft Defender for Cloud とは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Cloud の機能である Microsoft Defender for API は、Azure API Management で管理される API の完全なライフサイクル保護、検出、応答カバレッジを提供します。
API の Defender for API へのオンボードは、サブスクリプションに対して Defender for API プランを有効にし、API Management インスタンスで保護されていない API をオンボードする 2 段階のプロセスです。
API Management インスタンスのメニューで Microsoft Defender for Cloud を選択して、オンボードされた API のすべてのセキュリティに関する推奨事項とアラートの概要を表示します。
リファレンス: Microsoft Defender for Cloud を使用して高度な API セキュリティ機能を有効にする
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、 Azure Monitor のデータ ソースとデータ収集方法に関するページを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: API Management のリソース ログを有効にします。リソース ログは、監査とトラブルシューティングの目的で重要な操作とエラーに関する豊富な情報を提供します。 API Management のリソース ログのカテゴリは次のとおりです。
- GatewayLogs
- WebSocketConnectionLogs
リファレンス: リソース ログ
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1: 定期的な自動バックアップを確保する
Features
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、「Azure Backup サービスとは」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 適用なし | 適用なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービスネイティブ バックアップ機能
説明: サービスは、独自のネイティブ バックアップ機能をサポートします (Azure Backup を使用していない場合)。 詳細については、「 自動バックアップを定期的に実行する」を参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
追加のガイダンス: API Management サービスのバックアップと復元の機能を使用します。 バックアップ機能を使用する場合、API Management は顧客所有の Azure Storage アカウントにバックアップを書き込みます。 バックアップと復元の操作は、システムの完全バックアップと復元を実行するために API Management によって提供されます。
リファレンス: Azure API Management でサービスのバックアップと復元を使用してディザスター リカバリーを実装する方法