Azure API Management için yerleşik ilke tanımlarını Azure İlkesi
UYGULANANLAR: Tüm API Management katmanları
Bu sayfa, Azure API Management için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar. API Management'ta API davranışını değiştirmek için kullanabileceğiniz ilkeler arıyorsanız bkz . API Management ilke başvurusu.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure API Management
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: API Management Hizmeti Alanlar Arası Yedekli olmalıdır | API Management Hizmeti Alanlar Arası Yedekli veya değil olarak yapılandırılabilir. SKU adı 'Premium' ise ve bölge dizisinde en az iki girdi varsa API Management Hizmeti Alanlar Arası Yedeklidir. Bu ilke, bir bölge kesintisine dayanmak için gereken yedekliliğe sahip olmayan API Management Services'ı tanımlar. | Denetim, Reddetme, Devre Dışı | 1.0.1-önizleme |
| Azure API Management'ta API uç noktalarının kimliği doğrulanmalıdır | Azure API Management'ta yayımlanan API uç noktaları, güvenlik riskini en aza indirmeye yardımcı olmak için kimlik doğrulamasını zorunlu kılmalıdır. Kimlik doğrulama mekanizmaları bazen yanlış uygulanır veya eksiktir. Bu, saldırganların uygulama açıklarından yararlanmasına ve verilere erişmesine olanak tanır. Bozuk Kullanıcı Kimlik Doğrulaması için OWASP API Tehdidi hakkında daha fazla bilgiyi burada bulabilirsiniz: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kullanılmayan API uç noktaları devre dışı bırakılmalı ve Azure API Management hizmetinden kaldırılmalıdır | En iyi güvenlik uygulaması olarak, 30 gündür trafik almamış API uç noktaları kullanılmamış olarak kabul edilir ve Azure API Management hizmetinden kaldırılmalıdır. Kullanılmayan API uç noktalarının tutulması kuruluşunuz için güvenlik riski doğurabilir. Bunlar, Azure API Management hizmetinden kullanım dışı bırakılması gereken ancak yanlışlıkla etkin bırakılmış api'ler olabilir. Bu tür API'ler genellikle en güncel güvenlik kapsamını almaz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| API Management API'leri yalnızca şifrelenmiş protokoller kullanmalıdır | Aktarımdaki verilerin güvenliğini sağlamak için API'ler yalnızca HTTPS veya WSS gibi şifrelenmiş protokoller aracılığıyla kullanılabilir olmalıdır. HTTP veya WS gibi güvenli olmayan protokoller kullanmaktan kaçının. | Denetim, Devre Dışı, Reddet | 2.0.2 |
| API Arka Uçlarına API Management çağrılarının kimliği doğrulanmalıdır | API Management'tan arka uçlara yapılan çağrılar, sertifikalar veya kimlik bilgileri aracılığıyla bir tür kimlik doğrulaması kullanmalıdır. Service Fabric arka uçlarına uygulanmaz. | Denetim, Devre Dışı, Reddet | 1.0.1 |
| API arka uçlarına yapılan API Management çağrıları sertifika parmak izini veya ad doğrulamasını atlamamalıdır | API güvenliğini geliştirmek için API Management'ın tüm API çağrıları için arka uç sunucu sertifikasını doğrulaması gerekir. SSL sertifikası parmak izini ve ad doğrulamasını etkinleştirin. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management doğrudan yönetim uç noktası etkinleştirilmemelidir | Azure API Management'taki doğrudan yönetim REST API'si, Azure Resource Manager rol tabanlı erişim denetimi, yetkilendirme ve azaltma mekanizmalarını atlayarak hizmetinizin güvenlik açığını artırır. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır | Hizmet gizli dizilerinin salt okunur kullanıcılarla paylaşılmasını önlemek için en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| API Management adlı gizli dizi değerleri Azure Key Vault'ta depolanmalıdır | Adlandırılmış değerler, her API Management hizmetindeki ad ve değer çiftlerinden oluşan bir koleksiyonlardır. Gizli dizi değerleri API Management'ta şifrelenmiş metin olarak (özel gizli diziler) veya Azure Key Vault'taki gizli dizilere başvurarak depolanabilir. API Management ve gizli dizilerin güvenliğini geliştirmek için Azure Key Vault'tan adlandırılmış değerlere başvurun. Azure Key Vault ayrıntılı erişim yönetimi ve gizli dizi döndürme ilkelerini destekler. | Denetim, Devre Dışı, Reddet | 1.0.2 |
| API Management hizmeti sanal ağları destekleyen bir SKU kullanmalıdır | API Management'ın desteklenen SKU'ları ile bir sanal ağa hizmet dağıtmak, gelişmiş API Management ağ ve güvenlik özelliklerinin kilidini açar ve bu da ağ güvenlik yapılandırmanız üzerinde daha fazla denetim sağlar. Daha fazla bilgi için: https://aka.ms/apimvnet. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| API Management, hizmet yapılandırma uç noktalarına genel ağ erişimini devre dışı bırakmalıdır | API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| API Management'ta kullanıcı adı ve parola kimlik doğrulaması devre dışı bırakılmalıdır | Geliştirici portalının güvenliğini daha iyi sağlamak için API Management'ta kullanıcı adı ve parola kimlik doğrulaması devre dışı bırakılmalıdır. Azure AD veya Azure AD B2C kimlik sağlayıcıları aracılığıyla kullanıcı kimlik doğrulamasını yapılandırın ve varsayılan kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakın. | Denetim, Devre Dışı | 1.0.1 |
| API Management aboneliklerinin kapsamı tüm API'ler olarak kapsamlendirilmemelidir | API Management aboneliklerinin kapsamı tüm API'ler yerine bir ürün veya tek bir API olarak belirlenmiş olmalıdır ve bu da aşırı veri kullanımına neden olabilir. | Denetim, Devre Dışı, Reddet | 1.1.0 |
| Azure API Management platform sürümü stv2 olmalıdır | Azure API Management stv1 işlem platformu sürümü 31 Ağustos 2024 tarihinden itibaren kullanımdan kaldırılacaktır ve bu örneklerin sürekli destek için stv2 işlem platformuna geçirilmesi gerekir. Daha fazla bilgi için: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| API Management genel hizmet yapılandırma uç noktalarına erişimi devre dışı bırakmak için API Management hizmetlerini yapılandırma | API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| API Management hizmetleri (microsoft.apimanagement/service) için kategori grubuna göre Günlüğe kaydetmeyi Event Hub'a etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri için Olay Hub'ına (microsoft.apimanagement/service) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| LOG Analytics'e API Management hizmetleri (microsoft.apimanagement/service) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri (microsoft.apimanagement/service) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| API Management hizmetlerinin (microsoft.apimanagement/service) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri API Management hizmetleri için Depolama Hesabına (microsoft.apimanagement/service) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakmak için API Management'ı değiştirme | Geliştirici portalı kullanıcı hesaplarının ve kimlik bilgilerinin güvenliğini daha iyi sağlamak için Azure AD veya Azure AD B2C kimlik sağlayıcıları aracılığıyla kullanıcı kimlik doğrulamasını yapılandırın ve varsayılan kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakın. | Değiştir | 1.1.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.