Définitions de stratégie intégrées Azure Policy pour la Gestion des API Azure
S’APPLIQUE À : tous les niveaux de Gestion des API
Cette page constitue un index des définitions de stratégie intégrées Azure Policy pour la Gestion des API Azure. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy. Si vous recherchez des politiques que vous pouvez utiliser pour modifier le comportement de l'API dans la gestion de l'API, consultezla référence des politiques de la gestion de l'API .
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien figurant dans la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Gestion des API Azure
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : le service Gestion des API doit être redondant interzone | Le service Gestion des API peut être configuré pour être redondant interzone ou non. Un service Gestion des API est redondant interzone si son nom de référence SKU est 'Premium' et qu’il comporte au moins deux entrées dans son tableau de zones. Cette stratégie identifie les services Gestion des API qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.1-preview |
| Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il pourrait s’agir d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui auraient été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés | Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. | Audit, Désactivé, Refus | 2.0.2 |
| Les appels de Gestion des API aux back-ends d’API doivent être authentifiés | Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric. | Audit, Désactivé, Refus | 1.0.1 |
| Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom | Pour améliorer la sécurité de l’API, Gestion des API doit valider le certificat de serveur backend pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. | Audit, Désactivé, Refus | 1.0.2 |
| Le point de terminaison direct de Gestion des API ne doit pas être activé | L’API REST de gestion directe dans Gestion des API Azure contourne les mécanismes de contrôle d’accès en fonction du rôle, d’autorisation et de limitation d’Azure Resource Manager, ce qui augmente la vulnérabilité de votre service. | Audit, Désactivé, Refus | 1.0.2 |
| La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure. | Pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version d’API minimale doit être définie sur 01/12/2019 ou une version ultérieure. | Audit, Refuser, Désactivé | 1.0.1 |
| Les valeurs nommées des secrets de Gestion des API doivent être stockées dans Azure Key Vault | Les valeurs nommées représentent une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées en tant que texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour renforcer la sécurité de Gestion des API et des secrets, référencez les valeurs nommées des secrets à partir de Azure Key Vault. Azure Key Vault prend en charge la gestion précise des accès et les stratégies de rotation des secrets. | Audit, Désactivé, Refus | 1.0.2 |
| Le service Gestion des API doit utiliser une référence SKU qui prend en charge les réseaux virtuels | Avec les références SKU prises en charge pour la gestion des API, le déploiement de service dans un réseau virtuel déverrouille les fonctionnalités de sécurité et de mise en réseau avancées de la gestion des API, ce qui vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/apimvnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’authentification par nom d’utilisateur et mot de passe doit être désactivée pour Gestion des API | Pour mieux sécuriser le portail des développeurs, l’authentification par nom d’utilisateur et mot de passe dans Gestion des API doit être désactivée. Configurez l’authentification utilisateur par le biais de fournisseurs d’identité Azure AD ou Azure AD B2C et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. | Audit, Désactivé | 1.0.1 |
| Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API | Les abonnements à Gestion des API doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. | Audit, Désactivé, Refus | 1.1.0 |
| La version de la plateforme Gestion des API Azure doit être stv2 | La version de la plateforme de calcul stv1 Gestion des API Azure sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. Pour en savoir plus, voir https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les services Gestion des API pour désactiver l’accès aux points de terminaison de configuration de service public de Gestion des API | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | DeployIfNotExists, Désactivé | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Modifier Gestion des API pour désactiver l’authentification par nom d’utilisateur et mot de passe | Pour mieux sécuriser les comptes d’utilisateur du portail des développeurs et leurs informations d’identification, configurez l’authentification utilisateur via les fournisseurs d’identité Azure AD ou Azure AD B2C, et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. | Modifier | 1.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.