Linha de base de segurança do Azure para Gerenciamento de API
Essa linha de base de segurança aplica diretrizes do microsoft cloud security benchmark versão 1.0 a Gerenciamento de API. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Gerenciamento de API.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetros de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a Gerenciamento de API foram excluídos. Para ver como Gerenciamento de API mapeia completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança Gerenciamento de API.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Gerenciamento de API, o que pode resultar em maiores considerações de segurança.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Web |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente em repouso | Falso |
Segurança de rede
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.
NS-1: estabelecer limites de segmentação de rede
Recursos
Integração de rede virtual
Descrição: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: implante Gerenciamento de API do Azure dentro de uma VNET (Rede Virtual do Azure) para que ele possa acessar serviços de back-end na rede. O portal do desenvolvedor e o gateway do Gerenciamento de API podem ser configurados para serem acessados pela Internet (externo) ou somente na rede virtual (interno).
- Externo: o portal de desenvolvedor e o gateway de Gerenciamento de API podem ser acessados pela Internet pública por meio de um balanceador de carga externo. O gateway pode acessar recursos na rede virtual.
- Interno: o portal de desenvolvedor e o gateway de Gerenciamento de API só podem ser acessados de dentro da rede virtual por meio de um balanceador de carga interno. O gateway pode acessar recursos na rede virtual.
Referência: usar uma rede virtual com o Azure Gerenciamento de API
Suporte ao Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regra de Grupos de Segurança de Rede em suas sub-redes. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: implante NSG (grupos de segurança de rede) em suas sub-redes Gerenciamento de API para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras de NSG para restringir as portas abertas do serviço (como impedir que portas de gerenciamento sejam acessadas de redes não confiáveis). Lembre-se de que, por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e de Azure Load Balancers.
Cuidado: Ao configurar um NSG na sub-rede de Gerenciamento de API, há um conjunto de portas que precisam ser abertas. Se qualquer uma dessas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.
Observação: configurar regras NSG para Gerenciamento de API
Referência: Referência de configuração de rede virtual: Gerenciamento de API
NS-2: proteger serviços de nuvem com controles de rede
Recursos
Link Privado do Azure
Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não deve ser confundida com NSG ou Firewall do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: em instâncias em que não é possível implantar Gerenciamento de API instâncias em uma rede virtual, você deve implantar um ponto de extremidade privado para estabelecer um ponto de acesso privado para esses recursos.
Observação: para habilitar pontos de extremidade privados, a instância de Gerenciamento de API ainda não pode ser configurada com uma rede virtual externa ou interna. Uma conexão de ponto de extremidade privada dá suporte apenas ao tráfego de entrada para a instância de Gerenciamento de API.
Referência: conectar-se privadamente a Gerenciamento de API usando um ponto de extremidade privado
Desabilitar o acesso à rede pública
Descrição: o serviço dá suporte à desabilitação do acesso à rede pública usando a regra de filtragem de ACL de IP no nível de serviço (não NSG ou Firewall do Azure) ou usando um comutador de alternância "Desabilitar Acesso à Rede Pública". Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: desabilite o acesso à rede pública usando a regra de filtragem de ACL IP nos NSGs atribuídos às sub-redes do serviço ou uma opção de alternância para acesso à rede pública.
Observação: Gerenciamento de API dá suporte a implantações em uma rede virtual, além de bloquear implantações não baseadas em rede com um ponto de extremidade privado e desabilitar o acesso à rede pública.
Referência: Desabilitar o acesso à rede pública
Monitoramento do Microsoft Defender para Nuvem
Azure Policy definições internas – Microsoft.ApiManagement:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
NS-6: implantar firewall do aplicativo Web
Outras diretrizes para o NS-6
Para proteger APIs Web/HTTP críticas, configure Gerenciamento de API em uma VNET (Rede Virtual) no modo interno e configure um Gateway de Aplicativo do Azure. O Gateway de Aplicativo é um serviço PaaS. Ele atua como um proxy reverso e fornece balanceamento de carga L7, roteamento, firewall do aplicativo Web (WAF) e outros serviços. Saiba mais.
Combinar o Gerenciamento de API provisionado em uma rede virtual interna com o front-end do Gateway de Aplicativo permite os seguintes cenários:
- Usar um único recurso de Gerenciamento de API para expor todas as APIs para clientes internos e externos.
- Use um único recurso de Gerenciamento de API para expor um subconjunto de APIs para consumidores externos.
- Fornecer uma maneira rápida de ativar e desativar o acesso ao Gerenciamento de API da Internet pública.
Gerenciamento de identidades
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.
IM-1: usar um sistema centralizado de identidade e autenticação
Recursos
Autenticação do Azure AD necessária para acesso ao plano de dados
Descrição: o serviço dá suporte ao uso Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use o Azure Active Directory (Azure AD) como o método de autenticação padrão para Gerenciamento de API sempre que possível.
- Configure o seu Portal do Desenvolvedor do Gerenciamento de API do Azure para autenticar contas de desenvolvedor usando o Azure AD.
- Configure a sua instância do Gerenciamento de API do Azure para proteger APIs usando o protocolo OAuth 2.0 com o Azure AD.
Métodos de autenticação local para acesso ao plano de dados
Descrição: métodos de autenticações locais com suporte para acesso ao plano de dados, como um nome de usuário local e senha. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Notas de recurso: evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.
Diretrizes de configuração: restrinja o uso de métodos de autenticação local para acesso ao plano de dados, mantenha o inventário de Gerenciamento de API contas de usuário e reconcilie o acesso conforme necessário. No Gerenciamento de API, os desenvolvedores são os consumidores das APIs que são expostas com o Gerenciamento de API. Por padrão, as contas de desenvolvedor criadas recentemente têm o estado “Ativa” e são associadas ao grupo Desenvolvedores. As contas de desenvolvedor que estão com estado “Ativa” podem ser utilizadas para acessar todas as APIs nas quais estão inscritas.
Além disso, as assinaturas de Gerenciamento de API do Azure são um meio de proteger o acesso às APIs e vêm com um par de chaves de assinatura geradas que dão suporte à rotação.
Em vez de usar outros métodos de autenticação, sempre que possível, use o Azure Active Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: autenticar com Básico
IM-3: gerenciar identidades de aplicativos de maneira segura e automática
Recursos
Identidades gerenciadas
Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use uma Identidade de Serviço Gerenciada gerada pelo Azure Active Directory (Azure AD) para permitir que sua instância de Gerenciamento de API acesse com facilidade e segurança outros recursos protegidos por Azure AD, como o Azure Key Vault em vez de usar entidades de serviço. As credenciais de identidades gerenciadas são completamente gerenciadas, giradas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou arquivos de configuração.
Referência: autenticar com identidade gerenciada
Entidades de Serviço
Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: não há diretrizes atuais da Microsoft para essa configuração de recurso. Examine e determine se sua organização deseja configurar esse recurso de segurança.
IM-5: usar o SSO (logon único) para acessar o aplicativo
Outras diretrizes para IM-5
O Azure Gerenciamento de API pode ser configurado para aproveitar o Azure Active Directory (Azure AD) como um provedor de identidade para autenticar usuários no Portal do Desenvolvedor para se beneficiar dos recursos de SSO oferecidos pelo Azure AD. Uma vez configurados, os novos usuários do Portal do Desenvolvedor podem optar por seguir o processo de inscrição pronto para uso, em que primeiro autenticam pelo Azure Active Directory e, após a autenticação, concluem o processo de inscrição no portal.
Como alternativa, o processo de entrada/inscrição pode ser personalizado por meio de delegação. A delegação permite usar seu site existente para gerenciar a entrada/inscrição e assinatura de produtos feitas por desenvolvedores em vez de usar a funcionalidade integrada no portal do desenvolvedor. Ela permite que seu site tenha os dados dos usuários e realize a validação dessas etapas de forma personalizada.
IM-7: restringir o acesso aos recursos com base nas condições
Recursos
Acesso condicional para o plano de dados
Descrição: o acesso ao plano de dados pode ser controlado usando Azure AD Políticas de Acesso Condicional. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
IM-8: restringir a exposição de credenciais e segredos
Recursos
Armazenamento e integração de suporte a segredos e credenciais de serviço no Azure Key Vault
Descrição: o plano de dados dá suporte ao uso nativo de Key Vault do Azure para armazenamento de credenciais e segredos. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: configure a integração de Gerenciamento de API com o Key Vault do Azure. Verifique se os segredos do Gerenciamento de API (valores nomeados) são armazenados em um Azure Key Vault para que possam ser acessados e atualizados com segurança.
Referência: usar valores nomeados em políticas de Gerenciamento de API do Azure com Key Vault Integration
Monitoramento do Microsoft Defender para Nuvem
Azure Policy definições internas – Microsoft.ApiManagement:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que os segredos do serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Audit, Deny, desabilitado | 1.0.1 |
Acesso privilegiado
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: acesso privilegiado.
PA-1: separar e limitar usuários administrativos/altamente privilegiados
Recursos
Contas de Administração local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Notas de recurso: evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.
Diretrizes de configuração: se não for necessário para operações administrativas de rotina, desabilite ou restrinja contas de administrador local apenas para uso de emergência.
Observação: Gerenciamento de API permite a criação de uma conta de usuário local. Em vez de criar essas contas locais, habilite apenas a autenticação do Azure Active Directory (Azure AD) e atribua permissões a essas contas Azure AD.
Referência: como gerenciar contas de usuário no Azure Gerenciamento de API
PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)
Recursos
RBAC do Azure para Plano de Dados
Descrição: o RBAC do Azure (Azure Role-Based Controle de Acesso) pode ser usado para obter acesso gerenciado às ações do plano de dados do serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use o RBAC do Azure (controle de acesso baseado em função) do Azure para controlar o acesso ao Azure Gerenciamento de API. O Gerenciamento de API do Azure depende do RBAC (controle de acesso baseado em função) do Azure para habilitar o gerenciamento de acesso refinado de serviços e entidades de Gerenciamento de API (por exemplo, APIs e políticas).
Referência: como usar Role-Based Controle de Acesso no Azure Gerenciamento de API
Monitoramento do Microsoft Defender para Nuvem
Azure Policy definições internas – Microsoft.ApiManagement:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter escopo para um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditoria, desabilitado, negação | 1.1.0 |
PA-8: determinar o processo de acesso para suporte ao provedor de nuvem
Recursos
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser usado para acesso de suporte da Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Compartilhado |
Diretrizes de configuração: em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Sistema de Proteção de Dados do Cliente para revisar e, em seguida, aprovar ou rejeitar cada uma das solicitações de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.
DP-1: Descobrir, classificar e rotular dados confidenciais
Recursos
Descoberta e Classificação de Dados Confidenciais
Descrição: ferramentas (como o Azure Purview ou o Azure Proteção de Informações) podem ser usadas para descoberta e classificação de dados no serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
DP-2: monitorar anomalias e ameaças direcionadas a dados confidenciais
Recursos
Prevenção contra perda/vazamento de dados
Descrição: o serviço dá suporte à solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
DP-3: criptografar dados confidenciais ativos
Recursos
Criptografia de dados em trânsito
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Referência: gerenciar protocolos e criptografias no Azure Gerenciamento de API
Outras diretrizes para o DP-3
As chamadas do plano de gerenciamento são feitas por meio do Resource Manager do Azure por meio do TLS. Um JWT (token Web JSON) válido é necessário. As chamadas de plano de dados podem ser protegidas com TLS e um dos mecanismos de autenticação com suporte (por exemplo, certificado de cliente ou JWT).
Monitoramento do Microsoft Defender para Nuvem
Azure Policy definições internas – Microsoft.ApiManagement:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As APIs do Gerenciamento de APIs devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos inseguros, como HTTP ou WS. | Auditoria, desabilitado, negação | 2.0.2 |
DP-4: habilitar a criptografia de dados inativos por padrão
Recursos
Criptografia de dados em repouso usando chaves de plataforma
Descrição: há suporte para a criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: os dados do cliente em uma instância de Gerenciamento de API, incluindo configurações de API, produtos, assinaturas, usuários, grupos e conteúdo personalizado do portal do desenvolvedor, são armazenados em um banco de dados SQL Azure e no Armazenamento do Azure, que criptografam automaticamente o conteúdo em repouso.
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
DP-6: usar um processo de gerenciamento de chaves seguro
Recursos
Gerenciamento de chaves no Azure Key Vault
Descrição: o serviço dá suporte à integração de Key Vault do Azure para quaisquer chaves, segredos ou certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: configure a integração do Gerenciamento de API com o Azure Key Vault. Verifique se as chaves usadas pelo Gerenciamento de API são armazenadas em um Azure Key Vault para que possam ser acessados e atualizados com segurança.
Referência: pré-requisitos para a integração do cofre de chaves
Monitoramento do Microsoft Defender para Nuvem
Azure Policy definições internas – Microsoft.ApiManagement:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os valores secretos nomeados do Gerenciamento de API devem ser armazenados no Azure Key Vault | Os valores nomeados são uma coleção global de pares de nome/valor em cada serviço do Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos no Azure Key Vault. Para melhorar a segurança de Gerenciamento de API e segredos, faça referência a valores nomeados do segredo do Azure Key Vault. O Azure Key Vault dá suporte a políticas de rotação de segredo e gerenciamento de acesso granulares. | Auditoria, desabilitado, negação | 1.0.2 |
DP-7: usar um processo seguro de gerenciamento de certificados
Recursos
Gerenciamento de certificados no Azure Key Vault
Descrição: o serviço dá suporte à integração de Key Vault do Azure para todos os certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: configure a integração do Gerenciamento de API com o Azure Key Vault. Verifique se os segredos do Gerenciamento de API (valores nomeados) são armazenados em um Azure Key Vault para que possam ser acessados e atualizados com segurança.
Use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Verifique se a geração de certificados segue os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se houver suporte) com base em um agendamento definido ou quando houver uma expiração do certificado. Se não houver suporte para rotação automática no aplicativo, verifique se eles ainda são girados usando métodos manuais no Azure Key Vault e no aplicativo.
Referência: proteger serviços de back-end usando a autenticação de certificado do cliente no Azure Gerenciamento de API
Gerenciamento de ativos
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de ativos.
AM-2: usar apenas serviços aprovados
Recursos
Suporte ao Azure Policy
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use Azure Policy internas para monitorar e impor a configuração segura entre Gerenciamento de API recursos. Use aliases do Azure Policy no namespace "Microsoft.ApiManagement" para criar definições de Azure Policy personalizadas quando necessário.
Referência: Azure Policy definições de política internas para o Azure Gerenciamento de API
Registro em log e detecção de ameaças
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: registro em log e detecção de ameaças.
LT-1: habilitar funcionalidades de detecção de ameaças
Recursos
Microsoft Defender para oferta de serviço/produto
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorar e alertar sobre problemas de segurança. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: o Defender para APIs, um recurso de Microsoft Defender para Nuvem, oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs gerenciadas no Azure Gerenciamento de API.
A integração de APIs ao Defender para APIs é um processo de duas etapas: habilitar o plano do Defender para APIs para a assinatura e integrar APIs desprotegidas em suas instâncias de Gerenciamento de API.
Exiba um resumo de todas as recomendações de segurança e alertas para APIs integradas selecionando Microsoft Defender para Nuvem no menu da instância do Gerenciamento de API.
Referência: habilitar recursos avançados de segurança de API usando Microsoft Defender para Nuvem
LT-4: habilitar o registro em log para investigação de segurança
Recursos
Azure Resource Logs
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: habilite logs de recursos para Gerenciamento de API, os logs de recursos fornecem informações avançadas sobre operações e erros importantes para fins de auditoria e solução de problemas. As categorias de logs de recursos para Gerenciamento de API incluem:
- GatewayLogs
- WebSocketConnectionLogs
Referência: Logs de Recursos do APIM
Backup e recuperação
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: backup e recuperação.
BR-1: garantir backups automatizados regulares
Recursos
Serviço de Backup do Azure
Descrição: o serviço pode ser copiado em backup pelo serviço Backup do Azure. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Funcionalidade de backup nativo do serviço
Descrição: o serviço dá suporte à sua própria funcionalidade de backup nativo (se não estiver usando Backup do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Compartilhado |
Diretrizes adicionais: aproveite os recursos de backup e restauração no serviço de Gerenciamento de API do Azure. Ao aproveitar os recursos de backup, o Azure Gerenciamento de API grava backups em contas de Armazenamento do Azure de propriedade do cliente. As operações de backup e restauração são fornecidas pelo Azure Gerenciamento de API para executar backup e restauração completos do sistema.
Próximas etapas
- Confira a Visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure