Api/API-Verwaltungssicherheitsempfehlungen

In diesem Artikel werden alle Sicherheitsempfehlungen für die API/API-Verwaltung aufgeführt, die in Microsoft Defender for Cloud angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration. Sie können die Empfehlungen im Portal sehen, die für Ihre Ressourcen gelten.

Weitere Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter Remediate Empfehlungen in Defender for Cloud.

Azure-API-Empfehlungen

Microsoft Defender für APIs sollten aktiviert sein

Beschreibung & Verwandte Richtlinie: Aktivieren Sie die Defender für APIs, um API-Ressourcen vor Angriffen und Sicherheitsfehlern zu ermitteln und zu schützen. Weitere Informationen

Schweregrad: hoch

Azure API Management APIs sollten für APIs in Defender integriert werden

Beschreibung & Verwandte Richtlinie: Das Onboarding von APIs in Defender für APIs erfordert eine Compute- und Speicherauslastung für den Azure API Management Dienst. Überwachen Sie die Leistung Ihres Azure API Management-Diensts beim Onboarding von APIs, und skalieren Sie ihre Azure API Management Ressourcen nach Bedarf.

Schweregrad: hoch

NICHT verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden.

Beschreibung & Verwandte Richtlinie: Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies können APIs sein, die vom Azure API Management-Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel keine up-to-Datumssicherheitsabdeckung.

Schweregrad: Niedrig

API-Endpunkte in Azure API Management sollten authentifiziert werden

Beschreibung & Verwandte Richtlinie: IN Azure API Management veröffentlichte API-Endpunkte sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Bei apIs, die in Azure API Management veröffentlicht wurden, bewertet diese Empfehlung die Authentifizierung, indem überprüft wird, ob Azure API Management Abonnementschlüssel für APIs oder Produkte vorhanden sind, für die ein Abonnement erforderlich ist, sowie die Ausführung von Richtlinien für die Überprüfung von JWT, clientzertifikaten und token Microsoft Entra. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten.

Schweregrad: hoch

Nicht verwendete API-Endpunkte sollten deaktiviert und aus Funktions-Apps entfernt werden (Vorschau)

Beschreibung und zugehörige Richtlinie: API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, werden als nicht verwendet betrachtet und stellen ein potenzielles Sicherheitsrisiko dar. Diese Endpunkte wurden möglicherweise versehentlich aktiv, wenn sie veraltet sein sollten. Häufig fehlen nicht verwendete API-Endpunkte die neuesten Sicherheitsupdates, wodurch sie anfällig sind. Um potenzielle Sicherheitsverletzungen zu verhindern, empfehlen wir, diese HTTP-ausgelösten Endpunkte aus Azure Funktions-Apps zu deaktivieren und zu entfernen.

Schweregrad: Niedrig

Nicht verwendete API-Endpunkte sollten deaktiviert und aus Logik-Apps entfernt werden (Vorschau)

Beschreibung und zugehörige Richtlinie: API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, werden als nicht verwendet betrachtet und stellen ein potenzielles Sicherheitsrisiko dar. Diese Endpunkte wurden möglicherweise versehentlich aktiv, wenn sie veraltet sein sollten. Häufig fehlen nicht verwendete API-Endpunkte die neuesten Sicherheitsupdates, wodurch sie anfällig sind. Um potenzielle Sicherheitsverletzungen zu verhindern, empfehlen wir, diese Endpunkte von Azure Logic Apps zu deaktivieren und zu entfernen.

Schweregrad: Niedrig

Die Authentifizierung sollte auf API-Endpunkten aktiviert werden, die in Funktions-Apps gehostet werden (Vorschau)

Beschreibung & Verwandte Richtlinie: API-Endpunkte, die in Azure Funktions-Apps veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Dies ist entscheidend, um unbefugten Zugriff und potenzielle Datenschutzverletzungen zu verhindern. Ohne ordnungsgemäße Authentifizierung könnten vertrauliche Daten verfügbar gemacht werden, was die Sicherheit des Systems beeinträchtigt.

Schweregrad: hoch

Die Authentifizierung sollte auf API-Endpunkten aktiviert werden, die in Logik-Apps gehostet werden (Vorschau)

Beschreibung & Verwandte Richtlinie: IN Azure Logic Apps veröffentlichte API-Endpunkte sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Dies ist entscheidend, um unbefugten Zugriff und potenzielle Datenschutzverletzungen zu verhindern. Ohne ordnungsgemäße Authentifizierung könnten vertrauliche Daten verfügbar gemacht werden, was die Sicherheit des Systems beeinträchtigt.

Schweregrad: hoch

API Management-Empfehlungen

API-Verwaltungsabonnements sollten nicht auf alle APIs erweitert werden

Beschreibung und verwandte Richtlinie: API-Verwaltungsabonnements sollten auf ein Produkt oder eine einzelne API anstelle aller APIs festgelegt werden, was zu übermäßiger Datenexposition führen kann.

Schweregrad: Mittel

API-Verwaltungsaufrufe an API-Back-Ends sollten keine Zertifikatfingerabdruck- oder Namensüberprüfung umgehen

Beschreibung und zugehörige Richtlinie: Die API-Verwaltung sollte das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensprüfung, um die API-Sicherheit zu verbessern.

Schweregrad: Mittel

API-Verwaltungsendpunkt für die direkte Verwaltung sollte nicht aktiviert werden

Beschreibung & Verwandte Richtlinie: Die REST-API für die direkte Verwaltung in Azure API Management umgangen Azure Resource Manager rollenbasierten Zugriffssteuerungs-, Autorisierungs- und Einschränkungsmechanismen, wodurch die Sicherheitsanfälligkeit Ihres Diensts erhöht wird.

Schweregrad: Niedrig

API Management-APIs sollten nur verschlüsselte Protokolle verwenden

Beschreibung und verwandte Richtlinie: APIs sollten nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Vermeiden Sie die Verwendung ungesicherter Protokolle wie HTTP oder WS, um die Sicherheit von Daten während der Übertragung zu gewährleisten.

Schweregrad: hoch

Der geheime API-Verwaltungsschlüssel sollte in Azure Key Vault gespeichert werden.

Beschreibung und verwandte Richtlinie: Benannte Werte sind eine Sammlung von Namen- und Wertpaaren in jedem API-Verwaltungsdienst. Geheime Werte können entweder als verschlüsselter Text in der API-Verwaltung (benutzerdefinierte geheime Schlüssel) oder durch Verweisen auf geheime Schlüssel in Azure Key Vault gespeichert werden. Verweisen Sie auf geheime Werte aus Azure Key Vault, um die Sicherheit der API-Verwaltung und geheimer Schlüssel zu verbessern. Azure Key Vault unterstützt granulare Zugriffsverwaltungs- und geheime Rotationsrichtlinien.

Schweregrad: Mittel

API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren.

Beschreibung und verwandte Richtlinie: Um die Sicherheit von API-Verwaltungsdiensten zu verbessern, beschränken Sie die Konnektivität mit Dienstenkonfigurationsendpunkten, z. B. die Direct Access Management-API, den Git-Konfigurations-Verwaltungsendpunkt oder den selbst gehosteten Gateways-Konfigurationsendpunkt.

Schweregrad: Mittel

Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden

Beschreibung und verwandte Richtlinie: Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die mindeste API-Version auf 2019-12-01 oder höher festgelegt werden.

Schweregrad: Mittel

API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden

Beschreibung und zugehörige Richtlinie: Aufrufe von API Management zu Back-Ends sollten eine Form der Authentifizierung verwenden, ob über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric Back-Ends.

Schweregrad: Mittel

Zugehöriger Inhalt

  • Last updated on