Línea de base de seguridad de Azure para API Management

  • Artículo
  • Tiempo de lectura: 41 minutos

Esta línea base de seguridad aplica las instrucciones de la versión 1.0 de Azure Security Benchmark a API Management. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido lo agrupan los controles de seguridad definidos en Azure Security Benchmark y las instrucciones relacionadas aplicables a API Management.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles que no son aplicables a API Management o que son responsabilidad de Microsoft. Para ver la asignación completa de API Management a Azure Security Benchmark, consulte el archivo de la asignación completa de la línea base de seguridad de API Management.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: Azure API Management se puede implementar dentro de una red virtual (Vnet) de Azure, por lo que puede acceder a los servicios de back-end de la red. El portal para desarrolladores y la puerta de enlace de API Management pueden configurarse para que sean accesibles desde Internet (de forma externa) o solo dentro de la red virtual (de forma interna).

  • De forma externa: la puerta de enlace de API Management y el portal para desarrolladores son accesibles públicamente desde Internet con un equilibrador de carga externo. La puerta de enlace puede acceder a recursos dentro de la red virtual.

  • De forma interna: la puerta de enlace de API Management y el portal para desarrolladores solo son accesibles desde la red virtual con un equilibrador de carga interno. La puerta de enlace puede acceder a recursos dentro de la red virtual.

El tráfico entrante y saliente en la subred en la que se implementa API Management puede controlarse mediante un grupo de seguridad de red.

Responsabilidad: Customer

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes e interfaces de red

Guía: El tráfico entrante y saliente en la subred en la que se implementa API Management puede controlarse mediante grupos de seguridad de red. Implemente un grupo de seguridad de red en la subred de API Management, habilite los registros de flujo de dicho grupo y envíe registros a una cuenta de Azure Storage para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Precaución: Al configurar un grupo de seguridad de red en la subred de API Management, hay un conjunto de puertos que deben estar abiertos. Si alguno de estos puertos no está disponible, es posible que API Management no funcione correctamente y sea inaccesible.

Responsabilidad: Customer

1.3: Proteja las aplicaciones web críticas

Guía: Para proteger las API Web y HTTP esenciales, configure API Management dentro de una red virtual (Vnet) en modo interno y configure una instancia de Azure Application Gateway. Application Gateway es un servicio PaaS. Actúa como un proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios.

La combinación de una instancia de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los siguientes escenarios:

  • Uso de un único recurso de API Management para exponer todas las API a los consumidores internos y externos.
  • Uso de un único recurso de API Management para exponer un subconjunto de API a los consumidores externos.
  • Proporcionar una forma de activar y desactivar el acceso a API Management desde la red pública de Internet.

Nota: Esta característica está disponible únicamente en los niveles Premium y Desarrollador de API Management.

Responsabilidad: Customer

1.4: Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Configure API Management dentro de una red virtual (Vnet) en modo interno y configure una instancia de Azure Application Gateway. Application Gateway es un servicio PaaS. Actúa como un proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios.

La combinación de una instancia de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los siguientes escenarios:

  • Uso de un único recurso de API Management para exponer todas las API a los consumidores internos y externos.
  • Uso de un único recurso de API Management para exponer un subconjunto de API a los consumidores externos.
  • Proporcionar una forma de activar y desactivar el acceso a API Management desde la red pública de Internet.

Nota: Esta característica está disponible únicamente en los niveles Premium y Desarrollador de API Management.

Use la inteligencia sobre amenazas integrada de Microsoft Defender for Cloud para denegar la comunicación con direcciones IP de Internet malintencionadas conocidas o no utilizadas.

Responsabilidad: Customer

1.5: Registro de los paquetes de red

Guía: El tráfico entrante y saliente en la subred en la que se implementa API Management puede controlarse mediante grupos de seguridad de red. Implemente un grupo de seguridad de red en la subred de API Management, habilite los registros de flujo de dicho grupo y envíe registros a una cuenta de Azure Storage para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas del Análisis de tráfico son la capacidad de visualizar la actividad de la red e identificar las zonas activas, identificar las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar configuraciones de red incorrectas.

Precaución: Al configurar un grupo de seguridad de red en la subred de API Management, hay un conjunto de puertos que deben estar abiertos. Si alguno de estos puertos no está disponible, es posible que API Management no funcione correctamente y sea inaccesible.

Responsabilidad: Customer

1.6: Implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS) basados en la red

Guía: Configure API Management dentro de una red virtual (Vnet) en modo interno y configure una instancia de Azure Application Gateway. Application Gateway es un servicio PaaS. Actúa como un proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios. El WAF de Application Gateway proporciona protección contra puntos vulnerables de seguridad y ataques de seguridad comunes, y puede ejecutarse en los dos modos siguientes:

  • Modo de detección: supervisa y registra todas las alertas de amenazas. Puede activar el registro de diagnósticos de Application Gateway en la sección Diagnósticos. Debe asegurarse de que el registro de WAF está seleccionado y activado. El firewall de aplicaciones web no bloquea solicitudes entrantes cuando se ejecuta en modo de detección.
  • Modo de prevención: bloquea las intrusiones y los ataques que detectan las reglas. El atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

La combinación de una instancia de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los siguientes escenarios:

  • Uso de un único recurso de API Management para exponer todas las API a los consumidores internos y externos.
  • Uso de un único recurso de API Management para exponer un subconjunto de API a los consumidores externos.
  • Proporcionar una forma de activar y desactivar el acceso a API Management desde la red pública de Internet.

Nota: Esta característica está disponible únicamente en los niveles Premium y Desarrollador de API Management.

Responsabilidad: Customer

1.7: Administre el tráfico a las aplicaciones web

Instrucciones: Para administrar el tráfico que fluye a las API Web o HTTP, implemente API Management en una red virtual (Vnet) asociada con App Service Environment en modo externo o interno.

En modo interno, configure una instancia de Azure Application Gateway delante de API Management. Application Gateway es un servicio PaaS. Actúa como un proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios. El WAF de Application Gateway proporciona protección contra puntos vulnerables y problemas de seguridad comunes.

La combinación de una instancia de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los siguientes escenarios:

  • Uso de un único recurso de API Management para exponer todas las API a los consumidores internos y externos.
  • Uso de un único recurso de API Management para exponer un subconjunto de API a los consumidores externos.
  • Proporcionar una forma de activar y desactivar el acceso a API Management desde la red pública de Internet.

Nota: Esta característica está disponible únicamente en los niveles Premium y Desarrollador de API Management.

Responsabilidad: Customer

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: Use etiquetas de servicio de Virtual Network (Vnet) para definir controles de acceso a la red en los grupos de seguridad de red que se usan en las subredes de API Management. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ApiManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Precaución: Al configurar un grupo de seguridad de red en la subred de API Management, hay un conjunto de puertos que deben estar abiertos. Si alguno de estos puertos no está disponible, es posible que API Management no funcione correctamente y sea inaccesible.

Responsabilidad: Customer

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: Defina e implemente configuraciones de seguridad estándar para la configuración de red relacionada con las implementaciones de Azure API Management. Use alias de Azure Policy en los espacios de nombres "Microsoft.ApiManagement" y "Microsoft.Network" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de red de las implementaciones de Azure API Management y los recursos relacionados.

También puede utilizar Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos de entorno clave, como las plantillas de Azure Resource Manager, el control de acceso basado en roles de Azure (Azure RBAC) y las directivas, en una única definición de un plano técnico. Aplique fácilmente el plano técnico a nuevas suscripciones y entornos, y ajuste el control y la administración mediante el control de versiones.

Responsabilidad: Customer

1.10: Documente las reglas de configuración de tráfico

Guía: Use etiquetas para grupos de seguridad de red y otros recursos relacionados con la seguridad de red y el flujo de tráfico. En el caso de las reglas de grupo de seguridad de red individuales, puede usar el campo "Descripción" para especificar las necesidades empresariales o la duración (etc.) de las reglas que permiten que entre o salga el tráfico en una red.

Responsabilidad: Customer

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en estos asociados a las implementaciones de Azure API Management. Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos.

Responsabilidad: Customer

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.2: Configuración de la administración central de registros de seguridad

Guía: En Azure Monitor, use las áreas de trabajo de Log Analytics para consultar y realizar análisis, enviar registros a Azure Storage para el almacenamiento de archivos a largo plazo o para el análisis sin conexión, o exportar registros a otra solución de análisis en Azure y en otros entornos con Azure Event Hubs. De forma predeterminada, Azure API Management genera registros y métricas para Azure Monitor. El nivel de detalle del registro se puede configurar en todo el servicio y para cada API.

Además de Azure Monitor, Azure API Management puede integrarse con uno o varios servicios de Azure Application Insights. La configuración del registro para Application Insights se puede configurar en función de cada servicio o para cada API.

Opcionalmente, puede habilitar e incorporar datos a Microsoft Sentinel o a una herramienta de Administración de eventos e información de seguridad (SIEM) de terceros.

Responsabilidad: Customer

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: Para el registro de auditoría de planos de control, habilite la configuración de diagnóstico del registro de actividad de Azure y envíe registros de actividad a un área de trabajo de Log Analytics para los informes y los análisis, a Azure Storage para la protección a largo plazo, a Azure Event Hubs para la exportación a otras soluciones de análisis en Azure y otros entornos. Con los datos del registro de actividad de Azure, puede responder a las preguntas "qué, quién y cuándo" de las operaciones de escritura (PUT, POST, DELETE) llevadas a cabo en el nivel del plano de control para el servicio de Azure API Management.

Para el registro de auditoría de planos de datos, los registros de diagnóstico proporcionan información valiosa acerca de las operaciones y los errores que son importantes para la auditoría, así como para solucionar problemas. Los registros de diagnóstico son diferentes de los registros de actividad. Los registros de actividad proporcionan información sobre las operaciones llevadas a cabo en los recursos de Azure. Los registros de diagnóstico proporcionan información detallada acerca de las operaciones que el recurso ha realizado.

Responsabilidad: Customer

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Responsabilidad: Customer

2.6: Supervisión y revisión de registros

Guía: Azure API Management emite continuamente registros y métricas a Azure Monitor, lo que le permite tener una visibilidad casi en tiempo real del estado general y también del estado de las API. Con las áreas de trabajo de Azure Monitor y Log Analytics, puede revisar alertas, consultarlas, visualizarlas, enrutarlas, archivarlas y configurarlas, así como realizar acciones en las métricas y los registros procedentes de API Management y los recursos relacionados. analice y supervise los registros en busca de comportamientos anómalos y revise los resultados con regularidad.

Si lo desea, puede integrar API Management con Azure Application Insights y usarla como herramienta principal o secundaria de supervisión, seguimiento, informes y alertas.

Responsabilidad: Customer

2.7: Habilitación de alertas para actividades anómalas

Guía: Habilite la configuración de diagnóstico del registro de actividad de Azure, así como la configuración de diagnóstico de las instancias de Azure API Management y envíe los registros a un área de trabajo de Log Analytics. Realice consultas en Log Analytics para buscar términos, identificar tendencias, analizar patrones y proporcionar otra información detallada basada en los datos recopilados. Puede crear alertas basadas en las consultas del área de trabajo de Log Analytics.

Cree alertas de métricas que le avisen cuando ocurra algo inesperado. Por ejemplo, reciba notificaciones cuando la instancia de Azure API Management haya superado la capacidad máxima esperada durante un período de tiempo determinado o si ha habido un cierto número de solicitudes de puerta de enlace no autorizadas o errores durante un período de tiempo predefinido.

Si lo desea, puede integrar API Management con Azure Application Insights y usarla como herramienta principal o secundaria de supervisión, seguimiento, informes y alertas.

Opcionalmente, puede habilitar e incorporar datos a Microsoft Sentinel o a un sistema SIEM de terceros.

Responsabilidad: Customer

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Mantenga un inventario de cuentas que tengan acceso administrativo al plano de control de Azure API Management (Azure Portal).

Azure Active Directory (Azure AD) tiene roles integrados que se deben asignar explícitamente y son consultables. Azure API Management se basa en estos roles y en el control de acceso basado en rol para habilitar la administración de acceso detallada para servicios y entidades de API Management.

Además, API Management contiene un grupo de administradores integrado en el sistema de usuario de API Management. Los grupos de API Management controlan la visibilidad de las API en el portal para desarrolladores y los miembros del grupo de administradores pueden ver todas las API.

Siga las recomendaciones de Microsoft Defender for Cloud para la administración y el mantenimiento de las cuentas administrativas.

Responsabilidad: Customer

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure API Management no tiene el concepto de contraseñas o claves predeterminadas.

Sin embargo, las suscripciones de Azure API Management, que son un medio para proteger el acceso a las API, incluyen un par de claves de suscripción generadas. Los clientes pueden volver a generar estas claves de suscripción en cualquier momento.

Responsabilidad: Customer

3.3: Use cuentas administrativas dedicadas

Guía: Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Use la administración de identidad y el acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas.

Además, para ayudarle a realizar el seguimiento de las cuentas administrativas dedicadas, puede usar las recomendaciones de Microsoft Defender for Cloud o las directivas de Azure integradas, como:

Responsabilidad: Customer

3.4: Uso del inicio de sesión único (SSO) de Azure Active Directory

Guía: Azure API Management puede configurarse para aprovechar Azure Active Directory (Azure AD) como proveedor de identidades a fin de autenticar a los usuarios en el portal para desarrolladores y beneficiarse de las funcionalidades de SSO que Azure AD ofrece. Una vez configurados, los nuevos usuarios del portal para desarrolladores pueden optar por seguir en primer lugar el proceso de registro integrado mediante la autenticación con Azure AD y, a continuación, completar el proceso de registro en el portal una vez autenticados.

Como alternativa, el proceso de inicio de sesión o registro se puede personalizar aún más mediante la delegación. La delegación le permite usar su sitio web actual para controlar el inicio de sesión y la suscripción de los desarrolladores, así como sus suscripciones a productos, en contraposición al uso de la funcionalidad integrada en el portal para desarrolladores. Permite que el sitio web sea propietario de los datos de usuario y realice la validación de estos pasos de forma personalizada.

Responsabilidad: Customer

3.5: Uso de la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: habilite la autenticación multifactor de Azure Active Directory (Azure AD) y siga las recomendaciones de administración de identidad y acceso de Microsoft Defender for Cloud.

Responsabilidad: Customer

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: utilice estaciones de trabajo de acceso con privilegios (PAW) que tengan configurada la autenticación multifactor para iniciar sesión en los recursos de Azure y configurarlos.

Responsabilidad: Customer

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: use Privileged Identity Management (PIM) de Azure Active Directory (Azure AD) para la generación de registros y alertas cuando se produzca una actividad sospechosa o insegura en el entorno.

Además, use las detecciones de riesgo de Azure AD para ver alertas e informes sobre el comportamiento de los usuarios de riesgo.

Responsabilidad: Customer

3.8: Administre los recursos de Azure solo desde ubicaciones aprobadas

Guía: El cliente debe usar ubicaciones con nombre de acceso condicional para permitir el acceso a Azure Portal solo desde agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones.

Responsabilidad: Customer

3.9: Uso de Azure Active Directory

Instrucciones: siempre que sea posible, use Azure Active Directory (AD) como sistema central de autenticación y autorización. Azure AD protege los datos mediante un cifrado seguro para los datos en reposo y en tránsito. Azure AD también cifra con sal, convierte en hash y almacena de forma segura las credenciales de los usuarios.

Configure el portal para desarrolladores de Azure API Management a fin de autenticar las cuentas de desarrollador mediante Azure AD.

Configure la instancia de Azure API Management para proteger las API mediante el protocolo OAuth 2.0 con Azure AD.

Responsabilidad: Customer

3.10: Revise y concilie regularmente el acceso de los usuarios

Instrucciones: Azure Active Directory (Azure AD) proporciona registros para ayudar a descubrir cuentas obsoletas. Los clientes pueden usar las revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar periódicamente para asegurarse de que solo los usuarios apropiados continúan teniendo el acceso adecuado.

Los clientes pueden mantener el inventario de cuentas de usuario de API Management y conciliar el acceso según sea necesario. En API Management, los desarrolladores son los usuarios de las API que se exponen en este servicio. De forma predeterminada, las cuentas de desarrollador recién creadas se encuentran en estado activo y se asocian al grupo de desarrolladores. Las cuentas de desarrollador que se encuentran en estado activo se pueden usar para acceder a todas las API para las que tienen suscripciones.

Los administradores pueden crear grupos personalizados o aprovechar los grupos externos de los inquilinos de Azure Active Directory asociados. Los grupos personalizados y externos pueden usarse junto con grupos del sistema en la concesión a los desarrolladores de visibilidad y acceso a productos de la API.

Responsabilidad: Customer

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Configure la instancia de Azure API Management para autenticar las cuentas de desarrollador mediante Azure Active Directory como proveedor de identidades en Azure API Management.

Configure la instancia de Azure API Management para proteger las API mediante el protocolo OAuth 2.0 con Azure AD.

Configure la directiva de validación de JWT para las solicitudes de API entrantes a fin de ayudar a exigir la existencia y la validez de un token válido.

Cree una configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe los registros de auditoría y los registros de inicio de sesión a un área de trabajo de Log Analytics. Configure las alertas deseadas en el área de trabajo de Log Analytics. Además, puede incorporar el área de trabajo de Log Analytics a Microsoft Sentinel o a una herramienta SIEM de terceros.

Configure la supervisión avanzada con API Management usando la directiva log-to-eventhub, capture cualquier información del contexto adicional necesaria para el análisis de seguridad y envíela a Microsoft Sentinel o a una herramienta SIEM de terceros.

Responsabilidad: Customer

3.12: Alerta de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: En caso de que se produzcan desviaciones en el comportamiento de inicio de sesión de la cuenta del plano de control (Azure Portal), use Azure Active Directory (Azure AD) Identity Protection y las características de detección de riesgo para configurar respuestas automatizadas a las acciones sospechosas que se detecten en relación con las identidades de los usuarios. También puede ingerir datos en Microsoft Sentinel para realizar una investigación más exhaustiva.

Responsabilidad: Customer

3.13: Proporcione a Microsoft acceso a los datos pertinentes del cliente durante los escenarios de soporte técnico

Guía: No está disponible actualmente; Caja de seguridad del cliente no se admite actualmente en Azure API Management.

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Instrucciones: use etiquetas para ayudar a realizar el seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Responsabilidad: Customer

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Instrucciones: Implemente suscripciones y/o grupos de administración independientes para los entornos de desarrollo, prueba y producción. Las instancias de Azure API Management deben estar separadas por la red o la subred virtual y estar etiquetadas correctamente.

Responsabilidad: Customer

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Actualmente no disponible; las características de identificación, clasificación y prevención de pérdida de datos no están disponibles en este momento en Azure API Management.

Microsoft administra la infraestructura subyacente para Azure API Management y ha implementado controles estrictos para evitar la pérdida o exposición de los datos de los clientes.

Responsabilidad: Customer

4.4: Cifrado de toda la información confidencial en tránsito

Guía: Las llamadas del plano de administración se hacen mediante Azure Resource Manager con TLS. Se requiere un token web de JSON (JWT) válido. Las llamadas del plano de datos pueden estar protegidas con TLS y uno de los mecanismos de autenticación admitidos (por ejemplo, el certificado de cliente o JWT).

Responsabilidad: Compartido

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Guía: aún no disponible; las características de identificación, clasificación y prevención de pérdida de datos no están disponibles aún en Azure API Management. Etiquete las instancias de Azure API Management y los recursos relacionados que podrían procesar información confidencial como tal e implemente una solución de terceros, si es necesario, para fines de cumplimiento.

En el caso de la plataforma subyacente administrada por Microsoft, Microsoft trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

4.6: Uso de RBAC de Azure para controlar el acceso a los recursos

Guía: use el control de acceso basado en roles de Azure para controlar el acceso a Azure API Management. Azure API Management utiliza el control de acceso basado en roles de Azure para permitir que pueda hacerse una administración de acceso detallada en servicios y entidades de API Management (por ejemplo, API y directivas).

Responsabilidad: Customer

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Microsoft administra la infraestructura subyacente para Azure API Management y ha implementado controles estrictos para evitar la pérdida o exposición de los datos de los clientes.

Responsabilidad: Customer

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor con el registro de actividad de Azure a fin de crear alertas para cuando se produzcan cambios en las aplicaciones de Azure Functions y otros recursos esenciales o relacionados.

Responsabilidad: Customer

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía: No está disponible actualmente. La evaluación de vulnerabilidad de Microsoft Defender for Cloud no está disponible actualmente para Azure API Management.

Plataforma subyacente examinada y revisada por Microsoft. Revise los controles de seguridad disponibles para reducir los puntos vulnerables relacionados con la configuración de los servicios.

Responsabilidad: Customer

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

5.4: Compare los exámenes de vulnerabilidades opuestos

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía: No está disponible actualmente. La evaluación de vulnerabilidad de Microsoft Defender for Cloud no está disponible actualmente para Azure API Management.

Plataforma subyacente examinada y revisada por Microsoft. El cliente debe revisar los controles de seguridad disponibles para reducir los puntos vulnerables relacionados con la configuración de los servicios.

Responsabilidad: Customer

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.) dentro de las suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y enumere todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos de Azure Resource Manager que figuran a continuación.

Responsabilidad: Customer

6.2: Mantenimiento de metadatos de recursos

Instrucciones: Aplique etiquetas a los recursos de Azure que proporcionan metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

6.3: Eliminación de recursos de Azure no autorizados

Guía: use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos de Azure. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Además, use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

Responsabilidad: Customer

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos
  • Tipos de recursos permitidos

Use Azure Resource Graph para consultar o detectar recursos dentro de sus suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.8: Uso exclusivo de aplicaciones aprobadas

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

Responsabilidad: Customer

6.10: Mantenimiento de un inventario de títulos de software aprobados

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Guía: Configure el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager configurando "Bloquear acceso" en la aplicación Microsoft Azure Management.

Responsabilidad: Customer

6.12: Limitación de capacidad de los usuarios para ejecutar scripts en recursos de proceso

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Instrucciones: No aplicable; esta recomendación está pensada para las aplicaciones web que se ejecutan en Azure App Service o en recursos de proceso.

Responsabilidad: Customer

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para las instancias de Azure API Management con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.ApiManagement" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de los servicios de Azure API Management.

Responsabilidad: Customer

7.2: Establezca configuraciones del sistema operativo seguras

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Defina e implemente configuraciones de seguridad estándar para los servicios de Azure API Management con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.ApiManagement" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de las instancias de Azure API Management. Use la directiva de Azure [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de Azure.

Responsabilidad: Customer

7.4: Mantenga configuraciones del sistema operativo seguras

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Compartido

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Si usa definiciones de directivas personalizadas de Azure, use Azure DevOps o Azure Repos para almacenar y administrar de forma segura la configuración de servicios de Azure API Management.

Responsabilidad: Customer

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: Defina e implemente configuraciones de seguridad estándar para los servicios de Azure API Management con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.ApiManagement" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de las instancias de Azure API Management. Use la directiva de Azure [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de Azure.

Responsabilidad: Customer

7.8: Implementación de herramientas de administración de la configuración para sistemas operativos

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía: Use el kit de recursos de DevOps de Azure API Management para realizar la administración de la configuración de Azure API Management.

Además, defina e implemente configuraciones de seguridad estándar para los servicios de Azure API Management con Azure Policy. Use alias de Azure Policy en el espacio de nombres "Microsoft.ApiManagement" para crear directivas personalizadas con el fin de auditar o aplicar la configuración de las instancias de Azure API Management. Use la directiva de Azure [denegar] e [implementar si no existe] para aplicar la configuración segura en los recursos de Azure.

Responsabilidad: Customer

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Responsabilidad: Customer

7.12: Administre las identidades de forma segura y automática

Guía: Use una identidad de servicio administrada generada por Azure Active Directory (Azure AD) para permitir a la instancia de API Management acceder de forma fácil y segura a otros recursos protegidos de Azure AD, como Azure Key Vault.

Responsabilidad: Customer

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Responsabilidad: Customer

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Uso de software antimalware administrado centralmente

Instrucciones: No aplicable; esta recomendación está pensada para los recursos de proceso.

Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure API Management), pero no se ejecuta en el contenido del cliente.

Responsabilidad: Customer

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: No aplicable; esta recomendación está pensada para los recursos que no son de proceso y que están diseñados para almacenar datos.

Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure API Management), pero no se ejecuta en el contenido del cliente.

Responsabilidad: Customer

8.3: Asegúrese de que se han actualizado el software y las firmas antimalware

Guía: No aplicable; esta recomendación está pensada para los recursos que no son de proceso y que están diseñados para almacenar datos.

Microsoft Antimalware está habilitado en el host subyacente que admite los servicios de Azure (por ejemplo, Azure API Management), pero no se ejecuta en el contenido del cliente.

Responsabilidad: Customer

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Instrucciones: Si publica y administra las API a través de Azure API Management, podrá aprovechar numerosas funcionalidades de infraestructura y tolerancia a errores que, de lo contrario, debería diseñar, implementar y administrar de manera manual. API Management admite la implementación en varias regiones, lo que hace que el plano de datos sea inmune a los errores regionales sin necesidad de agregar ninguna sobrecarga operativa.

Las características de copia de seguridad y restauración de API Management ofrecen los bloques de creación necesarios para implementar una estrategia de recuperación ante desastres. Las operaciones de copia de seguridad y restauración se pueden realizar de forma manual o automatizada.

Responsabilidad: Customer

9.2: Realización de copias de seguridad completas del sistema y copias de seguridad de las claves administradas por el cliente

Guía: Las operaciones de copia de seguridad y restauración proporcionadas por Azure API Management realizan copias de seguridad y restauraciones completas del sistema.

Las identidades administradas se pueden utilizar para obtener certificados de Azure Key Vault para los nombres de dominio personalizados de API Management. Realice una copia de seguridad de todos los certificados que se almacenan en Azure Key Vault.

Responsabilidad: Customer

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Instrucciones: Compruebe las copias de seguridad; para ello, haga una restauración de prueba del servicio y los certificados a partir de las copias de seguridad.

Responsabilidad: Customer

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Azure API Management escribe copias de seguridad en las cuentas de Azure Storage propiedad del cliente. Siga las recomendaciones de seguridad de Azure Storage para proteger la copia de seguridad.

Habilite la eliminación temporal en Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

Responsabilidad: Customer

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención maliciosa detrás de la actividad que condujo a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no producción) con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

Responsabilidad: Customer

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.

Responsabilidad: Customer

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Instrucciones: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía: exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel.

Responsabilidad: Customer

10.6: Automatización de la respuesta a las alertas de seguridad

Guía: Use la característica de automatización de flujos de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente respuestas, a través de "Logic Apps", a alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Pasos siguientes