Azure API Management에 대한 Azure Policy 기본 제공 정책 정의
적용 대상: 모든 API Management 계층
이 페이지는 Azure API Management에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요. API Management에서 API 동작을 수정하는 데 사용할 수 있는 정책을 찾고 있는 경우 API Management 정책 참조를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure API Management
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: API Management 서비스는 영역 중복이어야 합니다. | API Management 서비스는 영역 중복 여부에 관계없이 구성될 수 있습니다. SKU 이름이 '프리미엄'이고 영역 배열에 항목이 두 개 이상 있는 경우 API Management 서비스는 영역 중복입니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 API Management 서비스를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| Azure API Management의 API 엔드포인트를 인증해야 함 | Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. 손상된 사용자 인증에 대한 OWASP API 위협에 대한 자세한 내용은 여기(https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication)를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함 | 보안 모범 사례로 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 조직에 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 더 이상 사용되지 않지만 실수로 활성 상태로 남아 있는 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용 범위를 받지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| API Management API는 암호화된 프로토콜만 사용해야 함 | 전송 중인 데이터의 보안을 보장하려면 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 API를 사용할 수 있어야 합니다. HTTP 또는 WS와 같은 보안되지 않은 프로토콜을 사용하지 마세요. | 감사, 사용 안 함, 거부 | 2.0.2 |
| API 백 엔드에 대한 API Management 호출을 인증해야 함 | API Management에서 백 엔드로의 호출은 인증서 또는 자격 증명을 통해 어떤 형태의 인증을 사용해야 합니다. Service Fabric 백 엔드에는 적용되지 않습니다. | 감사, 사용 안 함, 거부 | 1.0.1 |
| API 백 엔드에 대한 API Management 호출은 인증서 지문 또는 이름 유효성 검사를 바이패스해서는 안 됨 | API 보안을 향상하려면 API Management에서 모든 API 호출에 대한 백 엔드 서버 인증서의 유효성을 검사해야 합니다. SSL 인증서 지문 및 이름 유효성 검사를 사용하도록 설정합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 직접 관리 엔드포인트를 사용하도록 설정하면 안 됨 | Azure API Management의 직접 관리 REST API는 Azure Resource Manager 역할 기반 액세스 제어, 권한 부여, 제한 메커니즘을 우회하여 서비스의 취약성을 높입니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 최소 API 버전은 2019-12-01 이상으로 설정해야 함 | 서비스 비밀이 읽기 전용 사용자와 공유되는 것을 방지하려면 최소 API 버전을 2019-12-01 이상으로 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함 | 명명된 값은 각 API Management 서비스의 이름 및 값 쌍의 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 향상하려면 Azure Key Vault의 비밀로 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 서비스는 가상 네트워크를 지원하는 SKU를 사용해야 함 | API Management의 지원되는 SKU를 사용하여 가상 네트워크에 서비스를 배포하면 네트워크 보안 구성을 더욱 효과적으로 제어할 수 있는 고급 API Management 네트워킹 및 보안 기능을 활용할 수 있습니다. https://aka.ms/apimvnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| API Management에서 서비스 구성 엔드포인트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | API Management 서비스의 보안을 개선하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스트 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| API Management는 사용자 이름 및 암호 인증을 사용하지 않도록 설정해야 함 | 개발자 포털의 보안을 강화하려면 API Management에서 사용자 이름 및 암호 인증을 사용하지 않도록 설정해야 합니다. Azure AD 또는 Azure AD B2C ID 공급자를 통해 사용자 인증을 구성하고 기본 사용자 이름 및 암호 인증을 사용하지 않도록 설정합니다. | 감사, 사용 안 함 | 1.0.1 |
| API 관리 구독의 범위를 모든 API로 지정해서는 안 됨 | API Management 구독의 범위는 과도한 데이터 노출을 초래할 수 있는 모든 API가 아닌 제품 또는 개별 API로 지정해야 합니다. | 감사, 사용 안 함, 거부 | 1.1.0 |
| Azure API Management 플랫폼 버전은 stv2여야 합니다. | Azure API Management stv1 컴퓨팅 플랫폼 버전은 2024년 8월 31일부터 사용 중지되며, 지속적인 지원을 위해 이러한 인스턴스를 stv2 컴퓨팅 플랫폼으로 마이그레이션해야 합니다. https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| API Management 퍼블릭 서비스 구성 엔드포인트에 대한 액세스를 사용하지 않도록 API Management 서비스 구성 | API Management 서비스의 보안을 개선하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스트 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| API 관리를 수정하여 사용자 이름 및 암호 인증을 사용하지 않도록 설정 | 개발자 포털 사용자 계정과 해당 자격 증명을 더 안전하게 보호하려면 Azure AD 또는 Azure AD B2C ID 공급자를 통해 사용자 인증을 구성하고 기본 사용자 이름과 암호 인증을 사용하지 않도록 설정하세요. | 수정 | 1.1.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.