Säkerhetsrekommendationer för API/API-hantering

I den här artikeln visas alla säkerhetsrekommendationer för API/API-hantering som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration. Du kan se rekommendationerna i portalen som gäller för dina resurser.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Remediate-rekommendationer i Defender för molnet.

Azure API-rekommendationer

Microsoft Defender för API:er ska vara aktiverade

Description & relaterad princip: Aktivera Defender för API:er planerar att identifiera och skydda API-resurser mot attacker och säkerhetsfelkonfigurationer. Läs mer

Allvarlighetsgrad: Hög

Azure API Management API:er bör registreras för Defender för API:er

Description & relaterad princip: Registrering av API:er för att Defender för API:er kräver beräknings- och minnesanvändning för Azure API Management-tjänsten. Övervaka prestanda för din Azure API Management-tjänst vid registrering av API:er och skala ut dina Azure API Management resurser efter behov.

Allvarlighetsgrad: Hög

API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten

Description & relaterad princip: Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk. Dessa kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den mest up-to-date-säkerhetstäckningen.

Allvarlighetsgrad: Låg

API-slutpunkter i Azure API Management ska autentiseras

Description & relaterad princip: API-slutpunkter som publicerats inom Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. För API:er som publicerats i Azure API Management utvärderar den här rekommendationen autentiseringen genom att verifiera förekomsten av Azure API Management prenumerationsnycklar för API:er eller produkter där prenumeration krävs och körning av principer för validering av JWT, klientcertifikat och Microsoft Entra token. Om ingen av dessa autentiseringsmekanismer körs under API-anropet får API:et den här rekommendationen.

Allvarlighetsgrad: Hög

Oanvända API-slutpunkter ska inaktiveras och tas bort från Funktionsappar (förhandsversion)

Beskrivning och relaterad princip: API-slutpunkter som inte har tagit emot trafik på 30 dagar anses vara oanvända och utgör en potentiell säkerhetsrisk. Dessa slutpunkter kan ha lämnats aktiva av misstag när de borde ha blivit inaktuella. Ofta saknar oanvända API-slutpunkter de senaste säkerhetsuppdateringarna, vilket gör dem sårbara. För att förhindra potentiella säkerhetsöverträdelser rekommenderar vi att du inaktiverar och tar bort dessa HTTP-utlösta slutpunkter från Azure Funktionsappar.

Allvarlighetsgrad: Låg

Oanvända API-slutpunkter ska inaktiveras och tas bort från Logic Apps (förhandsversion)

Beskrivning och relaterad princip: API-slutpunkter som inte har tagit emot trafik på 30 dagar anses vara oanvända och utgör en potentiell säkerhetsrisk. Dessa slutpunkter kan ha lämnats aktiva av misstag när de borde ha blivit inaktuella. Ofta saknar oanvända API-slutpunkter de senaste säkerhetsuppdateringarna, vilket gör dem sårbara. För att förhindra potentiella säkerhetsöverträdelser rekommenderar vi att du inaktiverar och tar bort dessa slutpunkter från Azure Logic Apps.

Allvarlighetsgrad: Låg

Autentisering ska aktiveras på API-slutpunkter som finns i Funktionsappar (förhandsversion)

Description & relaterad princip: API-slutpunkter som publiceras i Azure Funktionsappar bör framtvinga autentisering för att minimera säkerhetsrisken. Detta är avgörande för att förhindra obehörig åtkomst och potentiella dataintrång. Utan korrekt autentisering kan känsliga data exponeras, vilket äventyrar systemets säkerhet.

Allvarlighetsgrad: Hög

Autentisering ska aktiveras på API-slutpunkter som finns i Logic Apps (förhandsversion)

Description & relaterad princip: API-slutpunkter som publicerats inom Azure Logic Apps bör framtvinga autentisering för att minimera säkerhetsrisken. Detta är avgörande för att förhindra obehörig åtkomst och potentiella dataintrång. Utan korrekt autentisering kan känsliga data exponeras, vilket äventyrar systemets säkerhet.

Allvarlighetsgrad: Hög

Rekommendationer för API-hantering

API Management-prenumerationer bör inte begränsas till alla API:er

Beskrivning och relaterad princip: API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering.

Allvarlighetsgrad: Medel

API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnvalidering

Beskrivning och relaterad princip: API Management bör verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera SSL-certifikatets tumavtryck och namnverifiering för att förbättra API-säkerheten.

Allvarlighetsgrad: Medel

API Management-slutpunkten för direkthantering ska inte vara aktiverad

Description & relaterad princip: REST-API:et för direkthantering i Azure API Management kringgår Azure Resource Manager rollbaserad åtkomstkontroll, auktorisering och begränsningsmekanismer, vilket ökar sårbarheten för din tjänst.

Allvarlighetsgrad: Låg

API Management-API:er bör endast använda krypterade protokoll

Beskrivning och relaterad princip: API:er ska endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS för att säkerställa säkerheten för data under överföring.

Allvarlighetsgrad: Hög

API Management-hemligheten med namngivna värden ska lagras i Azure Key Vault

Beskrivning och relaterad princip: Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. Referenshemlighet med namngivna värden från Azure Key Vault för att förbättra säkerheten för API Management och hemligheter. Azure Key Vault stöder detaljerade principer för åtkomsthantering och hemlig rotation.

Allvarlighetsgrad: Medel

API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk

Beskrivning och relaterad princip: För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för direkt åtkomsthantering, Git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självvärdade gatewayer.

Allvarlighetsgrad: Medel

API Management lägsta API-version ska anges till 2019-12-01 eller senare

Beskrivning och relaterad princip: För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare.

Allvarlighetsgrad: Medel

API Management-anrop till API-serverdelar ska autentiseras

Beskrivning och relaterad princip: Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för tjänst-Fabric serverdelar.

Allvarlighetsgrad: Medel

Relaterat innehåll

• Lär du dig mer om säkerhetsrekommendationer?
• Granska säkerhetsrekommendationer