この記事では、Microsoft Defender for Cloudに表示されるすべての API/API Management のセキュリティに関する推奨事項の一覧を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、Defender for Cloudの
Azure API の推奨事項
API のMicrosoft Defenderを有効にする必要がある
説明と関連ポリシー: API プランのDefenderを有効にして、攻撃やセキュリティの構成ミスから API リソースを検出して保護します。 詳細情報
重大度: 高
Azure API Management API を API のDefenderにオンボードする必要がある
説明と関連ポリシー: API のDefenderに API をオンボードするには、Azure API Management サービスでのコンピューティングとメモリの使用率が必要です。 API のオンボード中にAzure API Management サービスのパフォーマンスを監視し、必要に応じてAzure API Managementリソースをスケールアウトします。
重大度: 高
使用されていない API エンドポイントを無効にして、Azure API Management サービスから削除する必要がある
説明と関連ポリシー: セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 使用されていない API エンドポイントを保持しておくと、セキュリティ リスクが発生するおそれがあります。 これらは、Azure API Management サービスから非推奨になったはずの API ですが、誤ってアクティブなままになっている可能性があります。 このような API は、通常、最も up-toな日付のセキュリティ カバレッジを受け取りません。
重大度: 低
Azure API Managementの API エンドポイントを認証する必要がある
説明と関連ポリシー: Azure API Management内で公開された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 Azure API Managementで公開された API の場合、この推奨事項では、サブスクリプションが必要な API または製品のAzure API Management サブスクリプション キーの存在と、
重大度: 高
未使用の API エンドポイントを無効にして Function Apps から削除する必要がある (プレビュー)
説明と関連ポリシー: 30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、潜在的なセキュリティ リスクが発生します。 これらのエンドポイントは、非推奨とすべきだったときに、誤ってアクティブなままになっている可能性があります。 多くの場合、未使用の API エンドポイントには最新のセキュリティ更新プログラムがないため、脆弱になります。 潜在的なセキュリティ侵害を防ぐために、これらの HTTP によってトリガーされるエンドポイントを無効にして、Azure Function Apps から削除することをお勧めします。
重大度: 低
使用されていない API エンドポイントを無効にし、Logic Apps から削除する必要がある (プレビュー)
説明と関連ポリシー: 30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、潜在的なセキュリティ リスクが発生します。 これらのエンドポイントは、非推奨とすべきだったときに、誤ってアクティブなままになっている可能性があります。 多くの場合、未使用の API エンドポイントには最新のセキュリティ更新プログラムがないため、脆弱になります。 潜在的なセキュリティ侵害を防ぐために、これらのエンドポイントを無効にしてAzure Logic Appsから削除することをお勧めします。
重大度: 低
Function Apps でホストされている API エンドポイントで認証を有効にする必要がある (プレビュー)
説明と関連ポリシー: Azure Function Apps 内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 これは、不正アクセスや潜在的なデータ侵害を防ぐために重要です。 適切な認証がないと、機密データが公開され、システムのセキュリティが損なわれる可能性があります。
重大度: 高
Logic Apps でホストされている API エンドポイントで認証を有効にする必要がある (プレビュー)
説明と関連ポリシー: Azure Logic Apps内で公開された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 これは、不正アクセスや潜在的なデータ侵害を防ぐために重要です。 適切な認証がないと、機密データが公開され、システムのセキュリティが損なわれる可能性があります。
重大度: 高
API の管理に関する推奨事項
API Management サブスクリプションをすべての API にスコープを設定するべきではありません
説明と関連ポリシー: API Management サブスクリプションは、すべての API ではなく製品または個々の API にスコープを設定する必要があります。そのため、データが過剰に公開される可能性があります。
重大度: 中
API バックエンドへの API Management 呼び出しでは、証明書の拇印または名前の検証をバイパスしないでください
説明と関連ポリシー: API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 API のセキュリティを強化するために、SSL 証明書の拇印と名前の検証を有効にしてください。
重大度: 中
API Management ダイレクト管理エンドポイントを有効にしないでください
説明と関連ポリシー: Azure API Managementのダイレクト管理 REST API では、ロールベースのアクセス制御、承認、調整のメカニズムAzure Resource Managerバイパスされるため、サービスの脆弱性が高まります。
重大度: 低
API Management APIs では暗号化されたプロトコルのみを使用する必要があります
説明と関連するポリシー: API は、HTTPS や WSS などの暗号化されたプロトコルを介してのみ使用できます。 転送中のデータのセキュリティを確保するために、HTTP や WS などのセキュリティで保護されていないプロトコルは使用しないでください。
重大度: 高
API Management シークレットの名前付き値は、Azure Key Vaultに格納する必要があります
説明および関連ポリシー: 名前付き値は、各 API Management サービスの名前と値のペアのコレクションです。 シークレット値は、暗号化されたテキストとして API Management (カスタム シークレット) に格納することも、Azure Key Vault内のシークレットを参照して格納することもできます。 API Management とシークレットのセキュリティを向上させるために、Azure Key Vaultからシークレットの名前付き値を参照します。 Azure Key Vaultでは、きめ細かなアクセス管理とシークレット ローテーション ポリシーがサポートされます。
重大度: 中
API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある
説明と関連ポリシー: API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限します。
重大度: 中
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある
説明と関連ポリシー: サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以降に設定する必要があります。
重大度: 中
API Management から API バックエンドへの呼び出しは認証する必要がある
説明と関連するポリシー: API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用して、何らかの形式の認証を使用する必要があります。 サービス Fabric バックエンドには適用されません。
重大度: 中