Inbyggda principdefinitioner för Azure Policy för Azure API Management
GÄLLER FÖR: Alla API Management-nivåer
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure API Management. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy. Om du letar efter principer som du kan använda för att ändra API-beteende i API Management kan du läsa referens för API Management-principer.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure API Management
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: API Management Service ska vara zonredundant | API Management-tjänsten kan konfigureras så att den är zonredundant eller inte. En API Management-tjänst är zonredundant om dess sku-namn är "Premium" och det har minst två poster i matrisen för zoner. Den här principen identifierar API Management Services som saknar den redundans som krävs för att klara ett zonstopp. | Granska, neka, inaktiverad | 1.0.1-förhandsversion |
| API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. Läs mer om OWASP API Threat for Broken User Authentication här: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, inaktiverad | 1.0.1 |
| API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk för din organisation. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som kan ha lämnats aktiva av misstag. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| API Management-API:er bör endast använda krypterade protokoll | För att säkerställa säkerheten för data under överföring bör API:er endast vara tillgängliga via krypterade protokoll, till exempel HTTPS eller WSS. Undvik att använda oskyddade protokoll, till exempel HTTP eller WS. | Granska, inaktiverad, Neka | 2.0.2 |
| API Management-anrop till API-serverdelar ska autentiseras | Anrop från API Management till serverdelar bör använda någon form av autentisering, oavsett om det är via certifikat eller autentiseringsuppgifter. Gäller inte för Service Fabric-serverdelar. | Granska, inaktiverad, Neka | 1.0.1 |
| API Management-anrop till API-serverdelar bör inte kringgå certifikatets tumavtryck eller namnverifiering | För att förbättra API-säkerheten bör API Management verifiera serverdelsservercertifikatet för alla API-anrop. Aktivera tumavtryck och namnvalidering för SSL-certifikat. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-slutpunkten för direkthantering bör inte vara aktiverad | Rest-API:et för direkthantering i Azure API Management kringgår rollbaserade åtkomstkontrolls-, auktoriserings- och begränsningsmekanismer i Azure Resource Manager, vilket ökar sårbarheten för din tjänst. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management lägsta API-version ska anges till 2019-12-01 eller senare | För att förhindra att tjänsthemligheter delas med skrivskyddade användare bör den lägsta API-versionen anges till 2019-12-01 eller senare. | Granska, neka, inaktiverad | 1.0.1 |
| API Management-hemlighet med namngivna värden ska lagras i Azure Key Vault | Namngivna värden är en samling namn- och värdepar i varje API Management-tjänst. Hemliga värden kan lagras antingen som krypterad text i API Management (anpassade hemligheter) eller genom att referera till hemligheter i Azure Key Vault. För att förbättra säkerheten för API Management och hemligheter refererar du till hemliga namngivna värden från Azure Key Vault. Azure Key Vault har stöd för detaljerade principer för åtkomsthantering och hemlig rotation. | Granska, inaktiverad, Neka | 1.0.2 |
| API Management-tjänsten bör använda en SKU som stöder virtuella nätverk | Med SKU:er för API Management som stöds låser distributionen av tjänsten till ett virtuellt nätverk upp avancerade API Management-nätverk och säkerhetsfunktioner som ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://aka.ms/apimvnet. | Granska, neka, inaktiverad | 1.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| API Management bör inaktivera åtkomst till tjänstkonfigurationens slutpunkter för offentligt nätverk | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| API Management ska ha inaktiverat autentisering med användarnamn och lösenord | För att bättre skydda utvecklarportalen bör användarnamn och lösenordsautentisering i API Management inaktiveras. Konfigurera användarautentisering via Azure AD- eller Azure AD B2C-identitetsprovidrar och inaktivera standardautentiseringen för användarnamn och lösenord. | Granskning, inaktiverad | 1.0.1 |
| API Management-prenumerationer bör inte begränsas till alla API:er | API Management-prenumerationer bör begränsas till en produkt eller ett enskilt API i stället för alla API:er, vilket kan leda till överdriven dataexponering. | Granska, inaktiverad, Neka | 1.1.0 |
| Azure API Management-plattformsversionen ska vara stv2 | Azure API Management stv1-beräkningsplattformsversionen dras tillbaka från och med den 31 augusti 2024 och dessa instanser bör migreras till stv2-beräkningsplattformen för fortsatt support. Läs mer på https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera API Management-tjänster för att inaktivera åtkomst till API Management-slutpunkter för offentlig tjänstkonfiguration | För att förbättra säkerheten för API Management-tjänster begränsar du anslutningen till tjänstkonfigurationsslutpunkter, till exempel API för hantering av direktåtkomst, git-konfigurationshanteringsslutpunkt eller konfigurationsslutpunkt för självhanterade gatewayer. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för API Management-tjänster (microsoft.apimanagement/service) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för API Management-tjänster (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Ändra API Management för att inaktivera autentisering av användarnamn och lösenord | Konfigurera användarautentisering via Azure AD eller Azure AD B2C-identitetsprovidrar och inaktivera standardautentiseringen för användarnamn och lösenord för att skydda utvecklarportalens användarkonton och deras autentiseringsuppgifter. | Ändra | 1.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.