Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Esta base de segurança baseia-se numa versão anterior do Microsoft Cloud Security Benchmark (v1.0) e pode conter orientações desatualizadas. Para as orientações de segurança mais recentes, consulte a documentação de Gestão de APIs.
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft ao Azure API Management. O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao Gerenciamento de API.
Pode monitorizar esta linha de base de segurança e as suas recomendações usando o Microsoft Defender for Cloud. As definições de Política do Azure estão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando uma funcionalidade tem definições relevantes da Azure Policy, elas estão listadas nesta linha base para ajudar a medir a conformidade com os controlos e recomendações do benchmark de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Funcionalidades não aplicáveis à Gestão de APIs são excluídas. Para ver como a API Management corresponde completamente ao benchmark de segurança na cloud da Microsoft, consulte o ficheiro completo de mapeamento de segurança da API Management.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto da Gestão de APIs, que podem resultar em considerações de segurança acrescidas.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria de produto | Web |
| O cliente pode acessar o HOST / OS | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Verdade |
| Armazena dados de clientes em repouso | Falso |
Segurança de rede
Para mais informações, consulte Microsoft Cloud Security Benchmark: Network Security.
NS-1: Estabelecer limites de segmentação de rede
Caraterísticas
Integração da rede virtual
Descrição: O serviço suporta a implementação na rede virtual privada do cliente. Para saber mais, consulte Serviços que podem ser implementados numa rede virtual.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Implemente a Gestão de APIs dentro de uma Rede Virtual Azure, para que possa aceder a serviços backend dentro da rede. O portal para programadores e o gateway de Gestão de API podem ser configurados para serem acessíveis a partir da internet (externa) ou apenas dentro da rede virtual (interna).
- Externo: o gateway de gerenciamento de API e o portal do desenvolvedor são acessíveis a partir da Internet pública por meio de um balanceador de carga externo. O gateway pode acessar recursos dentro da rede virtual.
- Interno: o gateway de gerenciamento de API e o portal do desenvolvedor são acessíveis somente de dentro da rede virtual por meio de um balanceador de carga interno. O gateway pode acessar recursos dentro da rede virtual.
Referência: Utilizar uma rede virtual com Azure API Management
Apoio ao grupo de segurança de rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras do grupo de segurança de rede (NSG) nas suas sub-redes. Para saber mais, consulte a visão geral dos grupos de segurança de rede do Azure.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Implemente grupos de segurança de rede nas suas sub-redes de Gestão de API para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis). Por padrão, os NSGs bloqueiam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Azure Load Balancers.
Atenção: Ao configurar um NSG na sub-rede de Gestão de APIs, é necessário abrir um conjunto de portas. Se alguma dessas portas não estiver disponível, o Gerenciamento de API pode não funcionar corretamente e ficar inacessível.
Nota:Configurar regras NSG para Gestão de APIs
Referência: Referência de configuração de rede virtual: API Management
NS-2: Serviços de nuvem seguros com controles de rede
Caraterísticas
Azure Private Link
Descrição: Capacidade de filtragem IP nativa de serviço para filtrar tráfego de rede (não confundir com NSG ou Azure Firewall). Para saber mais, veja O que é o Azure Private Link?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Em situações em que não consegue implementar instâncias de Gestão de API numa rede virtual, deve antes implementar um endpoint privado para estabelecer um ponto de acesso privado para esses recursos.
Nota: Para ativar endpoints privados, a instância de Gestão de API ainda não pode ser configurada com uma rede virtual externa ou interna. Uma ligação de ponto final privada suporta apenas tráfego recebido para a instância de Gerenciamento de API.
Referência: Ligue-se privadamente à API Management usando um endpoint privado
Desativar o acesso à rede pública
Descrição: O serviço suporta a desativação do acesso à rede pública, seja através da regra de filtragem de ACL IP ao nível do serviço (não NSG ou Azure Firewall) ou utilizando um interruptor de desabilitação do acesso público à rede . Para saber mais, consulte NS-2: Serviços cloud seguros com controlos de rede.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Desative o acesso à rede pública usando a regra de filtragem de IP ACL nos NSGs atribuídos às sub-redes do serviço ou um switch de alternância para acesso à rede pública.
Nota: A Gestão de APIs suporta implementações numa rede virtual, bem como bloquear implementações não baseadas em rede com um endpoint privado e desativar o acesso à rede pública.
Reference: Desativar o acesso à rede pública
Monitoramento do Microsoft Defender for Cloud
Definições internas do Azure Policy - Microsoft.ApiManagement
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditar, Negar, Desativar | 1.0.2 |
NS-6: Implante o firewall de aplicativos Web
Outras orientações para o NS-6
Para proteger APIs Web/HTTP críticas, configure a Gestão de APIs dentro de uma rede virtual em modo interno e configure um Azure Application Gateway. O Application Gateway é um serviço PaaS. Ele atua como um proxy reverso e fornece balanceamento de carga L7, roteamento, firewall de aplicativos da Web (WAF) e outros serviços. Para saber mais, consulte Integrar a Gestão de APIs numa rede virtual interna com o Application Gateway.
Combinar a Gestão de APIs provisionada numa rede virtual interna com a interface do Gateway de Aplicações permite os seguintes cenários:
- Utilize um único recurso de Gestão de APIs para expor todas as APIs tanto a consumidores internos como externos.
- Use um único recurso de Gerenciamento de API para expor um subconjunto de APIs a consumidores externos.
- Fornecer uma forma de alternar o acesso ao gerenciamento de APIs a partir da internet pública, ativando e desativando.
Gestão de identidades
Para mais informações, consulte Microsoft Cloud Security Benchmark: Gestão de identidade.
IM-1: Usar identidade centralizada e sistema de autenticação
Caraterísticas
Autenticação Microsoft Entra necessária para acesso ao plano de dados
Descrição: O serviço suporta o uso da autenticação Microsoft Entra para acesso ao plano de dados. Para saber mais, consulte O que é a autenticação Microsoft Entra?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Use o Microsoft Entra ID como método de autenticação predefinido para a Gestão de APIs sempre que possível.
- Configure o seu portal de desenvolvimento de Gestão de API para autenticar contas de programadores usando o Microsoft Entra ID.
- Configure a sua instância de Gestão de APIs para proteger as suas APIs usando o protocolo OAuth 2.0 com o Microsoft Entra ID.
Referência: Proteja uma API no Azure API Management usando autorização OAuth 2.0 com Microsoft Entra ID
Métodos locais de autenticação para acesso ao plano de dados
Descrição: Métodos de autenticação local suportados para acesso ao plano de dados, como um nome de utilizador e palavra-passe locais. Para saber mais, consulte Autenticação e autorização .
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: Evite o uso de métodos ou contas de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, use o Microsoft Entra ID para autenticar sempre que possível.
Orientação de configuração: Restringa o uso de métodos locais de autenticação para o acesso ao plano de dados. Manter o inventário das contas de utilizador de Gestão de APIs e conciliar o acesso conforme necessário. Na Gestão de APIs, os programadores são os consumidores das APIs expostas com a Gestão de APIs. Por defeito, as contas de programador recém-criadas estão ativas e associadas ao grupo de Desenvolvedores. As contas de desenvolvedor que estão em um estado ativo podem ser usadas para acessar todas as APIs para as quais eles têm assinaturas.
Além disso, as subscrições de Gestão de APIs são um meio de garantir o acesso às APIs e vêm com um par de chaves de subscrição geradas, que suportam rotação.
Em vez de usar outros métodos de autenticação, sempre que possível, use o Microsoft Entra ID como método de autenticação predefinido para controlar o acesso ao seu plano de dados.
Referência: Referência da política de Gestão de APIs
IM-3: Gerencie identidades de aplicativos de forma segura e automática
Caraterísticas
Identidades gerenciadas
Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Para saber mais, veja O que são identidades geridas para recursos Azure?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Use uma Identidade de Serviço Gerido gerada pelo ID Microsoft Entra para permitir que a sua instância de Gestão de API aceda de forma fácil e segura a outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault, em vez de usar princípios de serviço. As credenciais de identidade geridas são totalmente geridas, renovadas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou nos arquivos de configuração.
Referência: Referência da política de Gestão de APIs
Principais de serviço
Descrição: Plano de dados suporta autenticação usando princípios de serviço. Para saber mais, consulte Criar um principal de serviço Azure com Azure PowerShell.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Não existe atualmente nenhuma orientação da Microsoft para esta configuração de funcionalidades. Analise e determine se sua organização deseja configurar esse recurso de segurança.
IM-5: Use o logon único (SSO) para acesso ao aplicativo
Outras orientações para o IM-5
O Azure API Management pode ser configurado para usar o Microsoft Entra ID como fornecedor de identidade para autenticar utilizadores no portal de programadores, de modo a beneficiar das capacidades SSO oferecidas pelo Microsoft Entra. Uma vez configurados, os novos utilizadores do portal de programadores podem optar por seguir o processo de inscrição pronto para usar, autenticando-se primeiro através do Microsoft Entra e, de seguida, completando o processo de inscrição no portal após a autenticação.
Como alternativa, o processo de entrada/inscrição pode ser personalizado por meio de delegação. A delegação permite que você use seu site existente para lidar com o login/inscrição do desenvolvedor e a assinatura de produtos, em vez de usar a funcionalidade interna no portal do desenvolvedor. Ele permite que seu site seja proprietário dos dados do usuário e realize a validação dessas etapas de forma personalizada.
IM-7: Restringir o acesso a recursos com base em condições
Caraterísticas
Acesso condicional para plano de dados
Descrição: O acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional da Microsoft Entra. Para saber mais, veja O que é o Acesso Condicional?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não aplicável | Não aplicável |
Orientação de configuração: Esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Caraterísticas
Credenciais de serviço e segredos suportam integração e armazenamento no Azure Key Vault
Descrição: O plano de dados suporta o uso nativo do Azure Key Vault para armazenamento de credenciais e segredos. Para saber mais, consulte Sobre os segredos do Azure Key Vault.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Configurar a integração da API Management com o Azure Key Vault. Garanta que os segredos para a Gestão de APIs (valores nomeados) são armazenados num Azure Key Vault para que possam ser acedidos e atualizados de forma segura.
Referência: Utilizar valores nomeados nas políticas de Gestão de APIs do Azure com integração com Key Vault
Monitoramento do Microsoft Defender for Cloud
Definições internas do Azure Policy - Microsoft.ApiManagement
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que dados confidenciais de serviço sejam partilhados com utilizadores com permissões só de leitura, a versão mínima da API deve ser especificada como 2019-12-01 ou superior. | Auditar, Negar, Desativar | 1.0.1 |
Acesso privilegiado
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Acesso privilegiado.
PA-1: Separe e limite usuários altamente privilegiados/administrativos
Caraterísticas
Contas administrativas locais
Descrição: O serviço tem o conceito de uma conta administrativa local. Para saber mais, consulte Separar e limitar utilizadores altamente privilegiados/administrativos.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: Evite o uso de métodos ou contas de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, use o Microsoft Entra ID para autenticar sempre que possível.
Orientação de configuração: Se não for necessário para operações administrativas rotineiras, desative ou restrinja quaisquer contas administrativas locais apenas para uso de emergência.
Nota: A Gestão de APIs permite a criação de uma conta de utilizador local. Em vez de criar estas contas locais, ative apenas a autenticação Microsoft Entra e atribua permissões a estas contas Microsoft Entra ID.
Referência: Como gerir contas de utilizador no Azure API Management
PA-7: Siga o princípio de administração suficiente (menor privilégio)
Caraterísticas
Azure RBAC para plano de dados
Descrição: O controlo de acesso baseado em funções do Azure (Azure RBAC) pode ser usado para gerir o acesso às ações do plano de dados do serviço. Para saber mais, veja O que é o controlo de acesso baseado em papéis no Azure?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Use o Azure RBAC para controlar o acesso à API Management. A Gestão de APIs baseia-se no Azure RBAC para permitir uma gestão de acesso detalhada para serviços e entidades de Gestão de APIs (por exemplo, APIs e políticas).
Referência: Como usar controlo de acesso baseado em funções no Azure API Management
Monitoramento do Microsoft Defender for Cloud
Definições internas do Azure Policy - Microsoft.ApiManagement
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditar, Desativar, Recusar | 1.1.0 |
PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem
Caraterísticas
Sistema de Proteção de Dados do Cliente
Descrição: O Customer Lockbox pode ser usado para acesso ao suporte da Microsoft. Para saber mais, consulte Customer Lockbox para Microsoft Azure.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Partilhado |
Orientação de configuração: Em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, use o Customer Lockbox para rever e depois aprove ou rejeite cada um dos pedidos de acesso aos dados da Microsoft.
Proteção de dados
Para mais informações, consulte o benchmark de segurança na nuvem Microsoft: Proteção de dados.
DP-1: Descubra, classifique e rotule dados confidenciais
Caraterísticas
Descoberta e classificação de dados sensíveis
Descrição: Ferramentas (como Azure Purview ou Azure Information Protection) podem ser usadas para descoberta e classificação de dados no serviço. Para saber mais, consulte Descobrir, classificar e rotular dados sensíveis.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não aplicável | Não aplicável |
Orientação de configuração: Esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Caraterísticas
Prevenção de fuga/perda de dados
Descrição: O serviço suporta uma solução DLP para monitorizar o movimento de dados sensíveis (no conteúdo do cliente). Para saber mais, consulte Monitorizar anomalias e ameaças direcionadas a dados sensíveis.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não aplicável | Não aplicável |
Orientação de configuração: Esta funcionalidade não é suportada para proteger este serviço.
DP-3: Criptografar dados confidenciais em trânsito
Caraterísticas
Encriptação de dados em trânsito
Descrição: O serviço suporta criptografia de dados em trânsito para o plano de dados. Para saber mais, consulte Dados em trânsito.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Orientação de configuração: Não são necessárias outras configurações, pois isto está ativado numa implementação por defeito.
Referência: Gerir protocolos e cifras no Azure API Management
Outras orientações para DP-3
As chamadas de plano de gestão são feitas através do Azure Resource Manager via TLS. É necessário um token Web JSON (JWT) válido. As chamadas de plano de dados podem ser protegidas com TLS e um dos mecanismos de autenticação suportados (por exemplo, certificado de cliente ou JWT).
Monitoramento do Microsoft Defender for Cloud
Definições internas do Azure Policy - Microsoft.ApiManagement
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| As APIs de gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS. | Auditar, Desativar, Recusar | 2.0.2 |
DP-4: Ativar encriptação de dados em repouso por padrão
Caraterísticas
Encriptação de dados em repouso usando chaves de plataforma
Descrição: A encriptação de dados em repouso usando chaves de plataforma é suportada. Quaisquer dados de clientes em repouso são encriptados com estas chaves geridas pela Microsoft. Para saber mais, consulte Encriptação em repouso nos serviços cloud da Microsoft.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Notas de funcionalidade: Os dados do cliente numa instância de Gestão de API, incluindo definições da API, produtos, subscrições, utilizadores, grupos e conteúdo personalizado para portais de programadores, são armazenados numa base de dados SQL Azure e no Azure Storage, que encripta automaticamente o conteúdo em repouso.
Orientação de configuração: Não são necessárias outras configurações, pois isto está ativado numa implementação por defeito.
DP-6: Use um processo seguro de gerenciamento de chaves
Caraterísticas
Gestão de chaves no Azure Key Vault
Descrição: O serviço suporta integração Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Para saber mais, consulte Sobre o Azure Key Vault.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Configurar a integração da API Management com o Azure Key Vault. Assegure que as chaves usadas pela API Management são armazenadas num Azure Key Vault para que possam ser acedidas e atualizadas de forma segura.
Referência: Pré-requisitos para integração com o cofre de chaves
Monitoramento do Microsoft Defender for Cloud
Definições internas do Azure Policy - Microsoft.ApiManagement
| Nome (portal do Azure) |
Description | Effect(s) | Versão (GitHub) |
|---|---|---|---|
| Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Para melhorar a segurança do Gerenciamento de API e dos segredos, faça referência a valores de segredos nomeados do Cofre de Chaves do Azure. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos. | Auditar, Desativar, Recusar | 1.0.2 |
DP-7: Use um processo seguro de gerenciamento de certificados
Caraterísticas
Gestão de certificados em Azure Key Vault
Descrição: O serviço suporta integração Azure Key Vault para quaisquer certificados de cliente. Para saber mais, consulte Comece com os certificados do Cofre de Chaves.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Configurar a integração da API Management com o Azure Key Vault. Garanta que os segredos para a Gestão de APIs (valores nomeados) são armazenados num Azure Key Vault para que possam ser acedidos e atualizados de forma segura.
Use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração do certificado segue padrões definidos sem usar propriedades inseguras, tais como: tamanho insuficiente da chave, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Cofre de Chaves do Azure e no serviço do Azure (se suportado) com base em uma agenda definida ou quando houver uma expiração do certificado. Se a rotação automática não for suportada na aplicação, assegure que continuam a ser rodados manualmente no Cofre de Chaves do Azure e na aplicação.
Referência: Serviços backend seguros usando autenticação de certificados de cliente no Azure API Management
Gestão de ativos
Para mais informações, consulte Microsoft Cloud Security Benchmark: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Caraterísticas
Suporte do Azure Policy
Descrição: As configurações dos serviços podem ser monitorizadas e aplicadas através da Azure Policy. Para saber mais, consulte Criar e gerir políticas para garantir a conformidade.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Use a Política Azure incorporada para monitorizar e impor uma configuração segura entre os recursos de Gestão da API. Use os pseudónimos de Política Azure no espaço de nomes Microsoft.ApiManagement para criar definições personalizadas de Política Azure quando necessário.
Referência: As definições de políticas internas do Azure Policy para o Azure API Management
Registo e deteção de ameaças
Para obter mais informações, consulte Microsoft Cloud Security Benchmark: Registo e deteção de ameaças.
LT-1: Habilite os recursos de deteção de ameaças
Caraterísticas
Microsoft Defender para Serviço / oferta de produto
Descrição: O serviço dispõe de uma solução Microsoft Defender específica para monitorizar e alertar sobre questões de segurança. Para saber mais, veja O que é o Microsoft Defender for Cloud?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: O Microsoft Defender para APIs, uma funcionalidade do Microsoft Defender for Cloud, oferece proteção completa, deteção e cobertura de resposta ao longo do ciclo de vida para APIs geridas no Azure API Management.
A integração de APIs ao Defender for APIs é um processo de duas etapas: habilitar o plano do Defender for APIs para a assinatura e integrar APIs desprotegidas em suas instâncias de Gerenciamento de API.
Consulte um resumo de todas as recomendações e alertas de segurança para APIs integradas selecionando Microsoft Defender for Cloud no menu da sua instância de Gestão de APIs.
Referência: Ativar funcionalidades avançadas de segurança da API usando o Microsoft Defender for Cloud
LT-4: Ativar o registro de logs para investigação de segurança
Caraterísticas
Logs de recursos do Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar esses logs de recursos e enviá-los para o seu próprio destino de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Para saber mais, consulte as fontes de dados do Azure Monitor e os métodos de recolha de dados.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: Ative os registos de recursos para a Gestão de APIs, os registos de recursos fornecem informações ricas sobre operações e erros importantes para fins de auditoria e resolução de problemas. As categorias de logs de recursos para Gestão de API incluem:
- GatewayLogs
- WebSocketConnectionLogs
Referência: Registos de recursos
Backup e recuperação
Para mais informações, consulte Microsoft Cloud Security Benchmark: Backup and recovery.
BR-1: Garantir cópias de segurança automatizadas regulares
Caraterísticas
Azure Backup
Descrição: O serviço pode ser feito backup pelo serviço Azure Backup. Para saber mais, veja O que é o serviço Azure Backup?
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não aplicável | Não aplicável |
Orientação de configuração: Esta funcionalidade não é suportada para proteger este serviço.
Capacidade de backup nativo de serviço
Descrição: O serviço suporta a sua própria capacidade nativa de backup (caso não utilize o Azure Backup). Para saber mais, consulte Garantir backups automatizados regulares.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Partilhado |
Orientação adicional: Utilize as capacidades de backup e restauro no serviço de Gestão de APIs. Ao utilizar capacidades de backup, a API Management escreve backups em contas de Azure Storage propriedade do cliente. As operações de backup e restauro são fornecidas pela API Management para realizar backup e restauro completos do sistema.
Referência: Como implementar a recuperação de desastres usando backup e restauro de serviços no Azure API Management
Conteúdo relacionado
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure