Recomendações de segurança de gerenciamento de API/API
Este artigo lista todas as recomendações de segurança de gerenciamento de API/API que você pode ver no Microsoft Defender for Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.
Recomendações da API do Azure
O Microsoft Defender para APIs deve estar habilitado
Descrição da política relacionada a APIs: habilite o plano do Defender for APIs para descobrir e proteger recursos da API contra ataques e configurações incorretas de segurança. Mais informações
Gravidade: Alta
As APIs de Gerenciamento de API do Azure devem ser integradas ao Defender for APIs
Descrição da política relacionada a s.: a integração de APIs ao Defender for APIs requer computação e utilização de memória no serviço de Gerenciamento de API do Azure. Monitore o desempenho do seu serviço de Gerenciamento de API do Azure enquanto integra APIs e dimensione seus recursos de Gerenciamento de API do Azure conforme necessário.
Gravidade: Alta
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure
Descrição da política relacionada a s.: como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas acidentalmente foram deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada.
Gravidade: Baixa
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados
Descrição da política relacionada a s.: os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a autenticação por meio da verificação da presença de chaves de assinatura do Gerenciamento de API do Azure para APIs ou produtos em que a assinatura é necessária e a execução de políticas para validar JWT, certificados de cliente e tokens Microsoft Entra. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação.
Gravidade: Alta
Recomendações de gerenciamento de API
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs
Descrição da política relacionada a API: as assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.
Gravidade: Média
As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome
Descrição & política relacionada: O Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.
Gravidade: Média
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado
Descrição Política relacionada a s.: A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço.
Gravidade: Baixa
As APIs de gerenciamento de API devem usar apenas protocolos criptografados
Descrição & política relacionada: As APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS para garantir a segurança dos dados em trânsito.
Gravidade: Alta
Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure
Descrição & política relacionada: Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Referenciar valores nomeados de segredo do Azure Key Vault para melhorar a segurança do Gerenciamento de API e segredos. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos.
Gravidade: Média
O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço
Descrição da política relacionada a Ads: Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados.
Gravidade: Média
A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior
Descrição da política relacionada a Ads: Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.
Gravidade: Média
As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas
Descrição da política relacionada a s.: As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica a back-ends do Service Fabric.
Gravidade: Média