Habilitar recursos avançados de segurança de API usando o Microsoft Defender para Nuvem

APLICA-SE A: Desenvolvedor | Básico | Básico v2 | Standard | Standard v2 | Premium

O Defender para APIs, um recurso do Microsoft Defender para Nuvem, oferece proteção completa do ciclo de vida, detecção e cobertura de resposta para APIs gerenciadas no Gerenciamento de API do Azure. O serviço capacita os profissionais de segurança a obter visibilidade de suas APIs comercialmente críticas, entender a postura de segurança, priorizar correções de vulnerabilidade e detectar ameaças de runtime ativas em minutos.

Observação

Atualmente, esse recurso não está disponível em workspaces.

Os recursos do Defender para APIs incluem:

  • Identificar APIs externas, não utilizadas ou não autenticadas
  • Classificar APIs que recebem ou respondem com dados confidenciais
  • Aplicar recomendações de configuração para fortalecer a postura de segurança de APIs e serviços de Gerenciamento de API
  • Detectar padrões de tráfego de API anômalos e suspeitos e explorações das 10 principais vulnerabilidades da API OWASP
  • Priorizar a correção de ameaças
  • Integrar com sistemas SIEM e o Gerenciamento da Postura de Segurança de Nuvem do Defender

Este artigo mostra como usar o portal do Azure para habilitar o Defender para APIs de sua instância de Gerenciamento de API e exibir um resumo das recomendações de segurança e alertas para APIs integradas.

Limitações do plano

  • Atualmente, o Defender para APIs descobre e analisa somente APIs REST.
  • Atualmente, o Defender para APIs não integra APIs expostas usando o gateway auto-hospedado ou gerenciado do Gerenciamento de API usando os workspaces do Gerenciamento de API.
  • Algumas detecções baseadas em ML e insights de segurança (classificação de dados, verificação de autenticação, APIs não utilizadas e externas) não têm suporte em regiões secundárias em implantações de várias regiões. O Defender para APIs depende de pipelines de dados locais para garantir a residência de dados regional e o desempenho aprimorado nessas implantações. 

Pré-requisitos

  • Pelo menos uma instância de Gerenciamento de API em uma assinatura do Azure. O Defender para APIs está habilitado no nível de uma assinatura do Azure.
  • Uma ou mais APIs com suporte devem ser importadas para a instância de Gerenciamento de API.
  • Atribuição de função para habilitar o plano do Defender para APIs.
  • Atribuição de função de Colaborador ou Proprietário em assinaturas relevantes do Azure, grupos de recursos ou instâncias do Gerenciamento de API que você deseja proteger.

Integração de APIs ao Defender

A integração de APIs ao Defender para APIs é um processo de duas etapas: habilitar o plano do Defender para APIs para a assinatura e integrar APIs desprotegidas em suas instâncias de Gerenciamento de API.  

Dica

Você também pode integrar o Defender para APIs diretamente na interface do Defender para Nuvem, em que mais informações de segurança de API e experiências de inventário estão disponíveis.

Habilitar o plano do Defender para APIs para uma assinatura

  1. Entre no portal, vá para a instância do Gerenciamento de API.

  2. No menu da esquerda, selecione Microsoft Defender para Nuvem.

  3. Selecione Habilitar o Defender na assinatura.

    Captura de tela que mostra como habilitar o Microsoft Defender para APIs no portal.

  4. Na página Plano do Defender, selecione Ativado para o plano de APIs .

  5. Clique em Salvar.

Integrar APIs desprotegidas ao Defender para APIs

Cuidado

A integração de APIs ao Defender para APIs pode aumentar a computação, a memória e a utilização da rede da instância do Gerenciamento de API, o que, em casos extremos, pode causar uma interrupção da instância do Gerenciamento de API. Não integre todas as APIs ao mesmo tempo se sua instância de Gerenciamento de API estiver em execução com alta utilização. Tenha cuidado ao integrar gradualmente as APIs, monitorando a utilização da instância (por exemplo, usando a métrica de capacidade) e escalando horizontalmente conforme necessário.

  1. No portal, volte para sua instância de Gerenciamento de API.

  2. No menu da esquerda, selecione Microsoft Defender para Nuvem.

  3. Em Recomendações, selecione APIs de Gerenciamento de API do Azure devem ser integradas ao Defender para APIs. Captura de tela das recomendações do Defender para APIs no portal.

  4. Na próxima tela, examine os detalhes sobre a recomendação:

    • Severity
    • Intervalo de atualização para descobertas de segurança
    • Etapas de descrição e correção
    • Recursos afetados, classificados como Íntegros (integrados ao Defender para APIs), Não íntegros (não integrados) ou Não aplicável, juntamente com metadados associados de Gerenciamento de API

    Observação

    Os recursos afetados incluem APIs (coleções de API) de todas as instâncias de Gerenciamento de API na assinatura.

  5. Na lista de recursos Não íntegros, selecione as API que você deseja integrar ao Defender para APIs.

  6. Selecione Corrigir e, em seguida, selecione Corrigir recursos. Captura de tela da integração de APIs não íntegras no portal.

  7. Acompanhe o status de recursos integrados em Notificações.

Observação

O Defender para APIs leva 30 minutos para gerar seus primeiros insights de segurança após a integração de uma API. Depois disso, os insights de segurança são atualizados a cada 30 minutos.

Exibir cobertura de segurança

Depois de integrar as APIs do Gerenciamento de API, o Defender para APIs recebe o tráfego de API que será usado para criar insights de segurança e monitorar ameaças. O Defender para APIs gera recomendações de segurança para APIs arriscadas e vulneráveis.

Você pode exibir um resumo de todas as recomendações de segurança e alertas para APIs integradas selecionando Microsoft Defender para Nuvem no menu da instância do Gerenciamento de API:

  1. No portal, acesse sua instância de Gerenciamento de API e selecione Microsoft Defender para Nuvem no menu à esquerda.

  2. Examine Recomendações e Alertas e informações de segurança.

    Captura de tela dos insights de segurança de API no portal.

Para os alertas de segurança recebidos, o Defender para APIs sugere as etapas necessárias para executar a análise necessária e validar a possível exploração ou anomalia associada às APIs. Siga as etapas no alerta de segurança para corrigir e retornar as APIs para status íntegros.

Remover APIs protegidas do Defender para APIs

Você pode remover APIs da proteção pelo Defender para APIs usando o Defender para Nuvem no portal. Para obter mais informações, confira Gerenciar implantação do Defender para APIs.

Próximas etapas