Linha de base de segurança do Azure para o Gerenciamento de API do Azure

Essa linha de base de segurança aplica diretrizes do parâmetro de comparação de segurança de nuvem da Microsoft ao Gerenciamento de API do Azure. O parâmetro de comparação de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao Gerenciamento de API.

Você pode monitorar essa linha de base de segurança e suas recomendações usando o Microsoft Defender para Nuvem. As definições do Azure Policy estão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender para Nuvem.

Quando um recurso tem definições relevantes do Azure Policy, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com as recomendações e controles de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto do Gerenciamento de API, o que pode resultar em considerações de segurança maiores.

Segurança de rede

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.

NS-1: estabelecer limites de segmentação de rede

Features

Integração de rede virtual

Descrição: o serviço dá suporte à implantação na rede virtual privada do cliente. Para saber mais, consulte os Serviços que podem ser implantados em uma rede virtual.

Diretrizes de configuração: implantar o Gerenciamento de API dentro de uma Rede Virtual do Azure, para que ele possa acessar serviços de back-end na rede. O portal do desenvolvedor e o gateway de Gerenciamento de API podem ser configurados para serem acessíveis na Internet (externa) ou somente na rede virtual (interna).

• Externo: o gateway de Gerenciamento de API e o portal do desenvolvedor podem ser acessados pela Internet pública por meio de um balanceador de carga externo. O gateway pode acessar recursos na rede virtual.
  • Configuração de rede virtual externa
• Interno: o gateway de Gerenciamento de API e o portal do desenvolvedor só podem ser acessados de dentro da rede virtual por meio de um balanceador de carga interno. O gateway pode acessar recursos na rede virtual.
  • Configuração de rede virtual interna

Referência: usar uma rede virtual com o Gerenciamento de API do Azure

Suporte ao grupo de segurança de rede

Descrição: O tráfego de rede de serviço respeita a atribuição de regra do NSG (grupo de segurança de rede) nas suas sub-redes. Para saber mais, confira a visão geral dos grupos de segurança de rede do Azure.

Diretrizes de configuração: implante grupos de segurança de rede em suas sub-redes de Gerenciamento de API para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras de NSG para restringir as portas abertas do serviço (como impedir que portas de gerenciamento sejam acessadas de redes não confiáveis). Por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e do Azure Load Balancers.

Cuidado: ao configurar um NSG na sub-rede de Gerenciamento de API, é necessário abrir um conjunto de portas. Se qualquer uma dessas portas estiver indisponível, o Gerenciamento de API poderá não operar corretamente e pode se tornar inacessível.

Observação: configurar regras NSG para o Gerenciamento de API

Referência: Referência de configuração de rede virtual: Gerenciamento de API

NS-2: Proteger serviços de nuvem com controles de rede

Features

Link Privado do Azure

Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (para não ser confundido com o NSG ou o Firewall do Azure). Para saber mais, confira o que é o Link Privado do Azure?

Diretrizes de configuração: em casos em que não é possível implantar instâncias de Gerenciamento de API em uma rede virtual, você deve implantar um ponto de extremidade privado para estabelecer um ponto de acesso privado para esses recursos.

Observação: para habilitar pontos de extremidade privados, a instância de Gerenciamento de API ainda não pode ser configurada com uma rede virtual externa ou interna. Uma conexão de ponto de extremidade privado dá suporte apenas ao tráfego de entrada para a instância de Gerenciamento de API.

Referência: Conectar-se privadamente ao Gerenciamento de API usando um ponto de extremidade privado

Desativar acesso à rede pública

Descrição: o serviço oferece suporte para desabilitar o acesso à rede pública por meio do uso de uma regra de filtragem de ACL IP no nível do serviço (não NSG ou Firewall do Azure) ou através de um botão de alternância Desabilitar Acesso à Rede Pública. Para saber mais, consulte NS-2: Proteger serviços de nuvem com controles de rede.

Diretrizes de configuração: Desabilite o acesso à rede pública usando a regra de filtragem de ACL IP nos NSGs atribuídos às sub-redes do serviço ou uma chave de alternância para acesso à rede pública.

Observação: o Gerenciamento de API dá suporte a implantações em uma rede virtual, além de bloquear implantações não baseadas em rede com um ponto de extremidade privado e desabilitar o acesso à rede pública.

Referência: Desativar acesso à rede pública

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.ApiManagement:

NS-6: implantar firewall do aplicativo Web

Outras diretrizes para o NS-6

Para proteger APIs Web/HTTP críticas, configure o Gerenciamento de API em uma rede virtual no modo interno e configure um Gateway de Aplicativo do Azure. O Gateway de Aplicativo é um serviço de PaaS. Ele atua como um proxy reverso e fornece balanceamento de carga L7, roteamento, WAF (firewall de aplicativo Web) e outros serviços. Para saber mais, confira Integrar o Gerenciamento de API em uma rede virtual interna com o Gateway de Aplicativo.

Combinar o Gerenciamento de API provisionado em uma rede virtual interna com o front-end do Gateway de Aplicativo habilita os seguintes cenários:

• Use um único recurso de Gerenciamento de API para expor todas as APIs para consumidores internos e consumidores externos.
• Use um único recurso de Gerenciamento de API para expor um subconjunto de APIs a consumidores externos.
• Forneça uma maneira de alternar o acesso ao Gerenciamento de API da internet pública, ativando-o e desativando-o.

Gerenciamento de identidades

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.

IM-1: usar um sistema centralizado de identidade e autenticação

Features

Autenticação do Microsoft Entra necessária para acesso ao plano de dados

Descrição: o serviço dá suporte ao uso da autenticação do Microsoft Entra para acesso ao plano de dados. Para saber mais, veja o que é a autenticação do Microsoft Entra?

Diretrizes de configuração: use a ID do Microsoft Entra como o método de autenticação padrão para o Gerenciamento de API sempre que possível.

• Configure o portal do desenvolvedor do Gerenciamento de API para autenticar contas de desenvolvedor usando a ID do Microsoft Entra.
• Configure sua instância de Gerenciamento de API para proteger suas APIs usando o protocolo OAuth 2.0 com a ID do Microsoft Entra.

Referência: proteger uma API no Gerenciamento de API do Azure usando a autorização do OAuth 2.0 com a ID do Microsoft Entra

Métodos de autenticação local para acesso ao plano de dados

Descrição: métodos de autenticações locais com suporte para acesso ao plano de dados, como um nome de usuário local e senha. Para saber mais, consulte a autenticação e autorização .

Notas de recurso: Evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use a ID do Microsoft Entra para autenticar sempre que possível.

Diretrizes de configuração: restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Mantenha o inventário de contas de usuário do Gerenciamento de API e reconcilie o acesso conforme necessário. No Gerenciamento de API, os desenvolvedores são os consumidores das APIs expostas com o Gerenciamento de API. Por padrão, as contas de desenvolvedor recém-criadas estão ativas e associadas ao grupo Desenvolvedores. Contas de desenvolvedor que estão em um estado ativo podem ser usadas para acessar todas as APIs para as quais têm assinaturas.

Além disso, as assinaturas de Gerenciamento de API são um meio de proteger o acesso às APIs e vêm com um par de chaves de assinatura geradas, que dão suporte à rotação.

Em vez de usar outros métodos de autenticação, sempre que possível, use a ID do Microsoft Entra como o método de autenticação padrão para controlar o acesso ao plano de dados.

Referência: Referência da política de Gerenciamento de API

IM-3: gerenciar identidades de aplicativos de maneira segura e automática

Features

Identidades gerenciadas

Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Para saber mais, confira O que são identidades gerenciadas para recursos do Azure?

Diretrizes de configuração: use uma Identidade de Serviço Gerenciada gerada pela ID do Microsoft Entra para permitir que sua instância de Gerenciamento de API acesse com facilidade e segurança outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault em vez de usar entidades de serviço. As credenciais de identidade gerenciada são totalmente gerenciadas, renovadas automaticamente e protegidas pela plataforma, evitando credenciais codificadas em código-fonte ou arquivos de configuração.

Referência: Referência da política de Gerenciamento de API

Entidades de serviço

Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço. Para saber mais, confira Criar uma entidade de serviço do Azure com o Azure PowerShell.

Diretrizes de configuração: não há diretrizes atuais da Microsoft para essa configuração de recursos. Examine e determine se sua organização deseja configurar esse recurso de segurança.

IM-5: usar o SSO (logon único) para acesso ao aplicativo

Outras diretrizes para IM-5

O Gerenciamento de API do Azure pode ser configurado para usar a ID do Microsoft Entra como um provedor de identidade para autenticar usuários no portal do desenvolvedor para se beneficiar dos recursos de SSO oferecidos pelo Microsoft Entra. Depois de configurado, os novos usuários do portal do desenvolvedor podem optar por seguir o processo de inscrição pré-configurado, autenticando-se primeiro por meio do Microsoft Entra e, em seguida, concluindo o processo de inscrição no portal, uma vez autenticados.

Como alternativa, o processo de entrada/inscrição pode ser personalizado ainda mais por meio da delegação. A delegação permite que você use seu site existente para lidar com a entrada/inscrição do desenvolvedor e assinatura em produtos, em vez de usar a funcionalidade interna no portal do desenvolvedor. Ela permite que seu site possua os dados do usuário e execute a validação dessas etapas de maneira personalizada.

IM-7: Restringir o acesso a recursos com base em condições

Features

Acesso condicional para o plano de dados

Descrição: o acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Microsoft Entra. Para saber mais, confira o que é acesso condicional?

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

IM-8: Restringir a exposição de credenciais e segredos

Features

Credenciais de serviço e segredos dão suporte à integração e ao armazenamento no Azure Key Vault

Descrição: o plano de dados dá suporte ao uso nativo do Azure Key Vault para armazenamento de credenciais e segredos. Para saber mais, confira sobre os segredos do Azure Key Vault.

Diretrizes de configuração: configurar a integração do Gerenciamento de API com o Azure Key Vault. Verifique se os segredos do Gerenciamento de API (valores nomeados) são armazenados em um Azure Key Vault para que possam ser acessados e atualizados com segurança.

Referência: usar valores nomeados nas políticas de Gerenciamento de API do Azure com a integração do Key Vault

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.ApiManagement:

Acesso privilegiado

Para obter mais informações, consulte o parâmetro de comparação de segurança na nuvem da Microsoft: acesso privilegiado.

PA-1: separar e limitar usuários altamente privilegiados/administrativos

Features

Contas de administrador local

Descrição: o serviço tem o conceito de uma conta administrativa local. Para saber mais, consulte Separar e limitar usuários altamente privilegiados/administrativos.

Notas de recurso: Evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use a ID do Microsoft Entra para autenticar sempre que possível.

Diretrizes de configuração: se não for necessário para operações administrativas de rotina, desabilite ou restrinja contas de administrador local somente para uso de emergência.

Observação: o Gerenciamento de API permite a criação de uma conta de usuário local. Em vez de criar essas contas locais, habilite apenas a autenticação do Microsoft Entra e atribua permissões a essas contas de ID do Microsoft Entra.

Referência: como gerenciar contas de usuário no Gerenciamento de API do Azure

PA-7: Siga o princípio de administração suficiente (privilégio mínimo)

Features

RBAC do Azure para plano de dados

Descrição: o RBAC (controle de acesso baseado em função) do Azure pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Para saber mais, confira o que é o controle de acesso baseado em função do Azure?

Diretrizes de configuração: use o RBAC do Azure para controlar o acesso ao Gerenciamento de API. O Gerenciamento de API depende do RBAC do Azure para habilitar o gerenciamento de acesso refinado para entidades e serviços de Gerenciamento de API (por exemplo, APIs e políticas).

Referência: como usar o controle de acesso baseado em função no Gerenciamento de API do Azure

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.ApiManagement:

PA-8: determinar o processo de acesso para suporte ao provedor de nuvem

Features

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser usado para acesso de suporte da Microsoft. Para saber mais, consulte Customer Lockbox para Microsoft Azure.

Diretrizes de configuração: em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Customer Lockbox para examinar e, em seguida, aprove ou rejeite cada uma das solicitações de acesso a dados da Microsoft.

Proteção de dados

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.

DP-1: descobrir, classificar e rotular dados confidenciais

Features

Descoberta e classificação de dados confidenciais

Descrição: ferramentas (como o Azure Purview ou a Proteção de Informações do Azure) podem ser usadas para descoberta e classificação de dados no serviço. Para saber mais, confira Descobrir, classificar e rotular dados confidenciais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

DP-2: Monitorar anomalias e ameaças direcionadas a dados confidenciais

Features

Prevenção contra perda/vazamento de dados

Descrição: o serviço dá suporte à solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Para saber mais, confira Monitorar anomalias e ameaças direcionadas a dados confidenciais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

DP-3: Criptografar dados confidenciais em trânsito

Features

Criptografia de dados em trânsito

Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Para saber mais, consulte Dados em trânsito.

Diretrizes de configuração: nenhuma outra configuração é necessária, pois ela está habilitada em uma implantação padrão.

Referência: Gerenciar protocolos e criptografias no Gerenciamento de API do Azure

Outras diretrizes para DP-3

As chamadas do plano de gerenciamento são feitas por meio do Azure Resource Manager por meio do TLS. Um JWT (Token Web JSON) válido é necessário. As chamadas de plano de dados podem ser protegidas com TLS e um dos mecanismos de autenticação com suporte (por exemplo, certificado do cliente ou JWT).

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.ApiManagement:

DP-4: habilitar a criptografia de dados em repouso por padrão

Features

Criptografia de dados em repouso usando chaves de plataforma

Descrição: Há suporte para a criptografia de dados em repouso usando chaves de plataforma. Todos os dados do cliente em repouso são criptografados com essas chaves gerenciadas pela Microsoft. Para saber mais, consulte Criptografia em repouso nos serviços de nuvem da Microsoft.

Notas de recurso: os dados do cliente em uma instância de Gerenciamento de API, incluindo configurações de API, produtos, assinaturas, usuários, grupos e conteúdo personalizado do portal do desenvolvedor, são armazenados em um banco de dados do SQL do Azure e no Armazenamento do Azure, que criptografa automaticamente o conteúdo em repouso.

Diretrizes de configuração: nenhuma outra configuração é necessária, pois ela está habilitada em uma implantação padrão.

DP-6: Use um processo seguro de gerenciamento de chaves

Features

Gerenciamento de chaves no Azure Key Vault

Descrição: o serviço dá suporte à integração do Azure Key Vault para chaves, segredos ou certificados do cliente. Para saber mais, consulte Sobre o Azure Key Vault.

Diretrizes de configuração: configurar a integração do Gerenciamento de API com o Azure Key Vault. Verifique se as chaves usadas pelo Gerenciamento de API são armazenadas em um Azure Key Vault para que possam ser acessadas e atualizadas com segurança.

Referência: Pré-requisitos para integração do cofre de chaves

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.ApiManagement:

DP-7: usar um processo seguro de gerenciamento de certificados

Features

Gerenciamento de certificados no Azure Key Vault

Descrição: o serviço dá suporte à integração do Azure Key Vault para todos os certificados do cliente. Para saber mais, confira Introdução aos certificados do Key Vault.

Diretrizes de configuração: configurar a integração do Gerenciamento de API com o Azure Key Vault. Verifique se os segredos do Gerenciamento de API (valores nomeados) são armazenados em um Azure Key Vault para que possam ser acessados e atualizados com segurança.

Use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificado siga os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se houver suporte) com base em um agendamento definido ou quando houver uma expiração de certificado. Se não houver suporte para rotação automática no aplicativo, garanta que o certificado ainda seja girado com métodos manuais no Azure Key Vault e no aplicativo.

Referência: Proteger serviços de back-end usando a autenticação de certificado do cliente no Gerenciamento de API do Azure

Gerenciamento de ativos

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Gerenciamento de ativos.

AM-2: usar apenas serviços aprovados

Features

Suporte para Azure Policy

Descrição: as configurações de serviço podem ser monitoradas e impostas por meio do Azure Policy. Para saber mais, consulte Criar e gerenciar políticas para impor a conformidade.

Diretrizes de configuração: use o Azure Policy interno para monitorar e impor a configuração segura entre os recursos de Gerenciamento de API. Use aliases do Azure Policy no namespace Microsoft.ApiManagement para criar definições personalizadas do Azure Policy quando necessário.

Referência: definições de política internas do Azure Policy para o Gerenciamento de API do Azure

Registro em log e detecção de ameaças

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: registro em log e detecção de ameaças.

LT-1: habilitar recursos de detecção de ameaças

Features

Oferta do Microsoft Defender para produto/serviço

Descrição: o serviço tem uma solução específica do Microsoft Defender para monitorar e alertar sobre problemas de segurança. Para saber mais, confira o que é o Microsoft Defender para Nuvem?

Diretrizes de configuração: o Microsoft Defender para APIs, uma funcionalidade do Microsoft Defender para Nuvem, oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs gerenciadas no Gerenciamento de API do Azure.

A integração de APIs ao Defender para APIs é um processo de duas etapas: habilitar o plano do Defender para APIs para a assinatura e integrar APIs desprotegidas em suas instâncias de Gerenciamento de API.  

Exiba um resumo de todas as recomendações de segurança e alertas para APIs integradas selecionando o Microsoft Defender para Nuvem no menu da instância de Gerenciamento de API.

Referência: habilitar recursos avançados de segurança de API usando o Microsoft Defender para Nuvem

LT-4: Ativar o registro de logs para investigação de segurança

Features

Logs de recursos do Azure

Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para o seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics. Para saber mais, confira as fontes de dados e os métodos de coleta de dados do Azure Monitor.

Diretrizes de configuração: habilitar logs de recursos para o Gerenciamento de API, os logs de recursos fornecem informações avançadas sobre operações e erros importantes para fins de auditoria e solução de problemas. As categorias de logs de recursos para o Gerenciamento de API incluem:

• GatewayLogs
• WebSocketConnectionLogs

Referência: Logs de recursos

Backup e recuperação

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: backup e recuperação.

BR-1: garantir backups automatizados regulares

Features

Backup do Azure

Descrição: o serviço pode ser respaldado pelo serviço de Backup do Azure. Para saber mais, confira O que é o serviço de Backup do Azure?

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Funcionalidade de backup nativo do serviço

Descrição: o serviço dá suporte a sua própria funcionalidade de backup nativo (se não estiver usando o Backup do Azure). Para saber mais, confira Garantir backups automatizados regulares.

Diretrizes adicionais: use os recursos de backup e restauração no serviço de Gerenciamento de API. Ao usar recursos de backup, o Gerenciamento de API grava backups em contas de Armazenamento do Azure de propriedade do cliente. As operações de backup e restauração são fornecidas pelo Gerenciamento de API para executar backup e restauração completos do sistema.

Referência: como implementar a recuperação de desastre usando backup e restauração de serviço no Gerenciamento de API do Azure

Conteúdo relacionado

• Confira a visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
• Saiba mais sobre as linhas de base de segurança do Azure