Definizioni di criteri predefiniti di Criteri di Azure per Gestione API di Azure
SI APPLICA A: Tutti i livelli di Gestione API
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Gestione API di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure. Se si cercano criteri che è possibile usare per modificare il comportamento dell'API in Gestione API, vedere informazioni di riferimento sui criteri di Gestione API.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Gestione API di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: il servizio Gestione API deve essere con ridondanza della zona | Gestione API servizio può essere configurato in modo che sia ridondante o meno della zona. Un servizio Gestione API è ridondante della zona se il nome sku è "Premium" e contiene almeno due voci nella matrice di zone. Questo criterio identifica Gestione API Servizi senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.1-preview |
| Gli endpoint API in Azure Gestione API devono essere autenticati | Gli endpoint API pubblicati in Azure Gestione API devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio azure Gestione API | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Azure Gestione API. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists, Disabled | 1.0.1 |
| Gestione API API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| Gestione API le chiamate ai back-end API devono essere autenticate | Le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Gestione API chiamate ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato | Per migliorare la sicurezza dell'API, Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API endpoint di gestione diretta non deve essere abilitato | L'API REST di gestione diretta in Azure Gestione API ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva | Per impedire la condivisione dei segreti del servizio con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva. | Audit, Deny, Disabled | 1.0.1 |
| Gestione API i valori denominati del segreto devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti di Azure Key Vault. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API servizio deve usare uno SKU che supporta le reti virtuali | Con gli SKU supportati di Gestione API, la distribuzione del servizio in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza Gestione API che consentono un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Gestione API disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists, Disabled | 1.0.1 |
| Gestione API deve essere disabilitata l'autenticazione con nome utente e password | Per proteggere meglio il portale per sviluppatori, l'autenticazione del nome utente e della password in Gestione API deve essere disabilitata. Configurare l'autenticazione utente tramite i provider di identità di Azure AD o Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Audit, Disabled | 1.0.1 |
| Gestione API le sottoscrizioni non devono avere come ambito tutte le API | Gestione API le sottoscrizioni devono essere incluse nell'ambito di un prodotto o di una singola API invece di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Audit, Disabled, Deny | 1.1.0 |
| La versione della piattaforma Gestione API di Azure deve essere stv2 | Azure Gestione API versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| Configurare Gestione API servizi per disabilitare l'accesso agli endpoint di configurazione del servizio pubblico Gestione API | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | DeployIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i servizi Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Modificare Gestione API per disabilitare l'autenticazione con nome utente e password | Per proteggere meglio gli account utente del portale per sviluppatori e le relative credenziali, configurare l'autenticazione utente tramite Azure AD o i provider di identità di Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Modifica | 1.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.