Azure-Sicherheitsbaseline für API Management

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf API Management an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für API Management definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features, die nicht für API Management gelten, wurden ausgeschlossen. Um zu sehen, wie API Management vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, sehen Sie sich die vollständige Zuordnungsdatei API Management Sicherheitsbaseline an.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von API Management zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Web
Der Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert ruhende Kundeninhalte False

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Funktionen

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie Azure API Management in einem Azure Virtual Network (VNET) bereit, um auf Back-End-Dienste innerhalb des Netzwerks zugreifen zu können. Das Entwicklerportal und das API Management-Gateway können so konfiguriert werden, dass darauf entweder über das Internet (extern) oder nur vom VNET (intern) aus zugegriffen werden kann.

  • Extern: Auf das API Management-Gateway und Entwicklerportal kann vom öffentlichen Internet über einen externen Lastenausgleich zugegriffen werden. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.
  • Intern: Auf das API Management-Gateway und Entwicklerportal kann nur aus dem virtuellen Netzwerk heraus über einen internen Lastenausgleich zugegriffen werden. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.

Referenz: Verwenden eines virtuellen Netzwerks mit Azure API Management

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie Netzwerksicherheitsgruppen (NSG) in Ihren API Management Subnetzen bereit, um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.

Vorsicht: Beim Konfigurieren einer NSG im API Management-Subnetz müssen einige Ports geöffnet sein. Wenn diese Ports nicht verfügbar sind, funktioniert API Management möglicherweise nicht ordnungsgemäß und kann möglicherweise nicht mehr aufgerufen werden.

Hinweis: Konfigurieren von NSG-Regeln für API Management

Referenz: Referenz zur Konfiguration virtueller Netzwerke: API Management

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Funktionen

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: In Fällen, in denen Sie API Management-Instanzen nicht in einem virtuellen Netzwerk bereitstellen können, sollten Sie stattdessen einen privaten Endpunkt bereitstellen, um einen privaten Zugriffspunkt für diese Ressourcen einzurichten.

Hinweis: Um private Endpunkte zu aktivieren, kann der API Management instance nicht bereits mit einem externen oder internen virtuellen Netzwerk konfiguriert werden. Eine Verbindung mit privatem Endpunkt unterstützt nur eingehenden Datenverkehr an die API Management-Instanz.

Referenz: Herstellen einer privaten Verbindung mit API Management mithilfe eines privaten Endpunkts

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke mithilfe der IP-ACL-Filterregel für die NSGs, die den Subnetzen des Diensts zugewiesen sind, oder mithilfe eines Umschaltschalters für den Zugriff auf öffentliche Netzwerke.

Hinweis: API Management unterstützt Bereitstellungen in einem virtuellen Netzwerk sowie das Sperren nicht netzwerkbasierter Bereitstellungen mit einem privaten Endpunkt und das Deaktivieren des öffentlichen Netzwerkzugriffs.

Referenz: Deaktivieren des Öffentlichen Netzwerkzugriffs

Microsoft Defender für Cloud-Überwachung

Azure Policy integrierten Definitionen : Microsoft.ApiManagement:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2

NS-6: Bereitstellen einer Web Application Firewall

Weitere Anleitungen für NS-6

Um kritische Web-/HTTP-APIs zu schützen, konfigurieren Sie API Management innerhalb eines Virtual Network (VNET) im internen Modus, und konfigurieren Sie eine Azure Application Gateway. Application Gateway ist ein PaaS-Dienst. Das Gateway fungiert als Reverseproxy und verfügt über L7-Lastenausgleich, Routing, Web Application Firewall (WAF) und andere Dienste. Weitere Informationen

Die Kombination aus einer Bereitstellung von API Management in einem internen VNET und dem Application Gateway-Front-End ermöglicht die folgenden Szenarien:

  • Verwenden von nur einer API Management-Ressource zum Verfügbarmachen aller APIs sowohl für interne als auch für externe Consumer
  • Verwenden von nur einer API Management-Ressource zum Verfügbarmachen eines Teils der APIs für externe Consumer
  • Schaffen einer Möglichkeit, mit der der Zugriff auf API Management über das öffentliche Internet ein- und ausgeschaltet werden kann

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Funktionen

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode für API Management nach Möglichkeit.

  • Konfigurieren Sie Ihr Entwicklerportal für Azure API Management, um Entwicklerkonten per Azure AD zu authentifizieren.
  • Konfigurieren Sie Ihre Azure API Management-Instanz so, dass Ihre APIs über das OAuth 2.0-Protokoll mit Azure AD geschützt sind.

Referenz: Schützen einer API in Azure API Management mithilfe der OAuth 2.0-Autorisierung mit Azure Active Directory

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Beschränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene, verwalten Sie den Bestand API Management Benutzerkonten, und stimmen Sie den Zugriff nach Bedarf ab. In API Management sind Entwickler die Consumer der APIs, die per API Management verfügbar gemacht werden. Neu erstellte Entwicklerkonten sind standardmäßig „Aktiv“ und werden der Gruppe „Entwickler“ zugewiesen. Entwicklerkonten mit dem Status „Aktiv“ können sämtliche APIs aufrufen, die sie abonniert haben.

Außerdem sind Azure API Management-Abonnements eine Möglichkeit, den Zugriff auf APIs zu sichern und werden mit einem Paar von generierten Abonnementschlüsseln bereitgestellt, die rotation unterstützen.

Anstatt andere Authentifizierungsmethoden zu verwenden, verwenden Sie nach Möglichkeit Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Die Datenebene zu steuern.

Referenz: Authentifizieren mit Basic

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Funktionen

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie eine verwaltete Dienstidentität, die von Azure Active Directory (Azure AD) generiert wurde, damit Ihre API Management instance einfach und sicher auf andere von Azure AD geschützte Ressourcen zugreifen können, z. B. Azure Key Vault anstelle von Dienstprinzipalen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Authentifizieren mit verwalteter Identität

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

IM-5: Verwenden von einmaligem Anmelden (SSO) für den Anwendungszugriff

Weitere Anleitungen für IM-5

Azure API Management kann so konfiguriert werden, dass Azure Active Directory (Azure AD) als Identitätsanbieter für die Authentifizierung von Benutzern im Entwicklerportal genutzt wird, um von den von Azure AD angebotenen SSO-Funktionen zu profitieren. Nach der Konfiguration können neue Benutzer des Entwicklerportals auswählen, ob sie den Standardanmeldeprozess nutzen, indem sie sich zuerst per Azure AD authentifizieren und nach Abschluss des Vorgangs dann den Anmeldeprozess im Portal durchführen.

Alternativ kann der Anmelde- bzw. Registrierungsvorgang per Delegierung auch weiter angepasst werden. Mit der Delegierung können Sie Anmeldung, Registrierung und Produktabonnierung von Entwicklern mit Ihrer vorhandenen Website umsetzen, anstatt die integrierte Funktion im Entwicklerportal zu verwenden. Dadurch besitzt die Website die Benutzerdaten und kann die Prüfung dieser Schritte auf selbst definierte Weise durchführen.

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass Geheimnisse für API Management (benannte Werte) in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.

Referenz: Verwenden benannter Werte in Azure API Management-Richtlinien mit Key Vault Integration

Microsoft Defender für Cloud-Überwachung

Azure Policy integrierten Definitionen : Microsoft.ApiManagement:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. Audit, Deny, Disabled 1.0.1

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

Funktionen

Lokale Admin-Konten

Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Wenn dies für routinemäßige Verwaltungsvorgänge nicht erforderlich ist, können Sie lokale Administratorkonten nur für den Notfall deaktivieren oder einschränken.

Hinweis: API Management ermöglicht die Erstellung eines lokalen Benutzerkontos. Anstatt diese lokalen Konten zu erstellen, aktivieren Sie nur die Azure Active Directory-Authentifizierung (Azure AD), und weisen Sie diesen Azure AD-Konten Berechtigungen zu.

Referenz: Verwalten von Benutzerkonten in Azure API Management

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Funktionen

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um den Zugriff auf Azure API Management zu steuern. Azure API Management nutzt die rollenbasierte Zugriffssteuerung von Azure, um eine differenzierte Zugriffsverwaltung für API Management-Dienste und -Entitäten (z. B. APIs und Richtlinien) zu ermöglichen.

Referenz: Verwenden von Role-Based Access Control in Azure API Management

Microsoft Defender für Cloud-Überwachung

Azure Policy integrierten Definitionen : Microsoft.ApiManagement:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
API Management-Abonnements sollten nicht für alle APIs gelten API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. Audit, Disabled, Deny 1.1.0

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

Funktionen

Ermittlung und Klassifizierung vertraulicher Daten

Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Funktionen

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Verwalten von Protokollen und Verschlüsselungen in Azure API Management

Weitere Anleitungen für DP-3

Aufrufe auf Verwaltungsebene erfolgen über Azure Resource Manager und TLS. Ein gültiges JSON Web Token (JWT) ist erforderlich. Aufrufe auf Datenebene können mit TLS und einem der unterstützten Authentifizierungsmechanismen (z. B. Clientzertifikat oder JWT) geschützt werden.

Microsoft Defender für Cloud-Überwachung

Azure Policy integrierten Definitionen : Microsoft.ApiManagement:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
API Management-APIs sollten nur verschlüsselte Protokolle verwenden Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. Audit, Disabled, Deny 2.0.2

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Kundendaten in einem API Management instance, einschließlich API-Einstellungen, Produkten, Abonnements, Benutzern, Gruppen und benutzerdefinierten Entwicklerportalinhalten, werden in einer SQL Azure-Datenbank und in Azure Storage gespeichert, die ruhende Inhalte automatisch verschlüsseln.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass von der API Management-Instanz verwendete Schlüssel in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.

Referenz: Voraussetzungen für die Schlüsseltresorintegration

Microsoft Defender für Cloud-Überwachung

Azure Policy integrierten Definitionen : Microsoft.ApiManagement:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. Audit, Disabled, Deny 1.0.2

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Richten Sie die Integration von API Management in Azure Key Vault ein. Stellen Sie sicher, dass Geheimnisse für API Management (benannte Werte) in einer Azure Key Vault-Instanz gespeichert werden, damit sie sicher abgerufen und aktualisiert werden können.

Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und des Azure-Diensts (sofern unterstützt) basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein. Wenn die automatische Rotation in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung gedreht werden.

Referenz: Schützen von Back-End-Diensten mithilfe der Clientzertifikatauthentifizierung in Azure API Management

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie integrierte Azure Policy, um die sichere Konfiguration über API Management Ressourcen hinweg zu überwachen und zu erzwingen. Verwenden Sie Azure Policy-Aliase im Namespace „Microsoft.ApiManagement“, um bei Bedarf benutzerdefinierte Azure Policy-Definitionen zu erstellen.

Referenz: Azure Policy integrierten Richtliniendefinitionen für Azure API Management

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Funktionen

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Defender für APIs, eine Funktion von Microsoft Defender für Cloud, bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs, die in Azure API Management verwaltet werden.

Das Onboarding von APIs in Defender for APIs ist ein zweistufiger Prozess: Aktivieren des Defender for APIs-Plans für das Abonnement und Durchführen eines Onboardings ungeschützter APIs in Ihre API Management-Instanzen.  

Zeigen Sie eine Zusammenfassung aller Sicherheitsempfehlungen und Warnungen für integrierte APIs an, indem Sie im Menü für Ihre API Management instance Microsoft Defender für Cloud auswählen.

Referenz: Aktivieren erweiterter API-Sicherheitsfeatures mithilfe von Microsoft Defender für Cloud

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für API Management. Ressourcenprotokolle bieten umfassende Informationen zu Vorgängen und Fehlern, die für Überwachungs- und Problembehandlungszwecke wichtig sind. Zu den Kategorien von Ressourcenprotokollen für API Management gehören:

  • GatewayLogs
  • WebSocketConnectionLogs

Referenz: APIM-Ressourcenprotokolle

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Backup

Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Service Native Backup-Funktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Zusätzliche Anleitung: Nutzen Sie die Sicherungs- und Wiederherstellungsfunktionen in Azure API Management-Dienst. Wenn Sie Sicherungsfunktionen nutzen, schreibt Azure API Management Sicherungen in kundeneigene Azure Storage-Konten. Sicherungs- und Wiederherstellungsvorgänge werden von Azure API Management bereitgestellt, um eine vollständige Systemsicherung und -wiederherstellung durchzuführen.

Referenz: Implementieren der Notfallwiederherstellung mithilfe der Dienstsicherung und -wiederherstellung in Azure API Management

Nächste Schritte