Recomendações de segurança de gerenciamento de API/API

Este artigo lista todas as recomendações de segurança de gestão de APIs/APIs que pode encontrar no Microsoft Defender para a Cloud.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Pode ver as recomendações no portal que se aplicam aos seus recursos.

Para saber sobre as ações que pode tomar em resposta a estas recomendações, consulte as recomendações Remediate em Defender para a Cloud.

Azure API recomendações

O Microsoft Defender para APIs deve estar ativado

Descrição & política relacionada: Ativar o Defender para o plano das APIs para descobrir e proteger recursos da API contra ataques e configurações incorretas de segurança. Mais informações

Gravidade: Alta

As APIs do API Management do Azure devem ser integradas ao Defender para APIs

Descrição & política relacionada: A integração de APIs para Defender de APIs requer utilização de computação e memória no serviço API Management do Azure. Monitorize o desempenho do seu serviço API Management do Azure durante a integração das APIs e escale os seus recursos API Management do Azure conforme necessário.

Gravidade: Alta

Endpoints API que não sejam utilizados devem ser desativados e removidos do serviço API Management do Azure

Descrição & política relacionada: Como melhor prática de segurança, endpoints de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço API Management do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Estas podem ser APIs que deveriam ter sido obsoletas do serviço API Management do Azure, mas que foram deixadas ativas por engano. Essas APIs normalmente não recebem a cobertura de segurança mais up-todata.

Gravidade: Baixa

Endpoints API no API Management do Azure devem ser autenticados

Descrição & política relacionada: Os endpoints de API publicados em API Management do Azure devem impor autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas em API Management do Azure, esta recomendação avalia a autenticação através da verificação da presença de chaves de subscrição API Management do Azure para APIs ou produtos onde é necessária subscrição, e da execução de políticas para validar JWT, certificados de cliente e Microsoft Entra tokens. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação.

Gravidade: Alta

Os pontos de extremidade de API não utilizados devem ser desativados e removidos dos Aplicativos de Função (Visualização)

Descrição da política relacionada a s.: os pontos de extremidade da API que não recebem tráfego há 30 dias são considerados não utilizados e representam um risco potencial de segurança. Esses pontos de avaliação podem ter sido deixados ativos acidentalmente quando deveriam ter sido preteridos. Muitas vezes, os pontos de extremidade de API não utilizados não têm as atualizações de segurança mais recentes, tornando-os vulneráveis. Para evitar potenciais violações de segurança, recomendamos desativar e remover estes endpoints ativados por HTTP das aplicações Azure Function.

Gravidade: Baixa

Os pontos de extremidade de API não utilizados devem ser desabilitados e removidos dos Aplicativos Lógicos (Visualização)

Descrição da política relacionada a s.: os pontos de extremidade da API que não recebem tráfego há 30 dias são considerados não utilizados e representam um risco potencial de segurança. Esses pontos de avaliação podem ter sido deixados ativos acidentalmente quando deveriam ter sido preteridos. Muitas vezes, os pontos de extremidade de API não utilizados não têm as atualizações de segurança mais recentes, tornando-os vulneráveis. Para evitar potenciais falhas de segurança, recomendamos desativar e remover estes endpoints do Azure Logic Apps.

Gravidade: Baixa

A autenticação deve estar ativada nos endpoints API alojados em Function Apps (Preview)

Descrição & política relacionada: Os endpoints da API publicados em Azure Function Apps devem impor autenticação para ajudar a minimizar o risco de segurança. Isto é crucial para evitar acessos não autorizados e potenciais violações de dados. Sem autenticação adequada, dados sensíveis podem ser expostos, comprometendo a segurança do sistema.

Gravidade: Alta

A autenticação deve estar ativada nos endpoints API alojados em Logic Apps (Preview)

Descrição & política relacionada: Os endpoints API publicados em Azure Logic Apps devem impor autenticação para ajudar a minimizar o risco de segurança. Isto é crucial para evitar acessos não autorizados e potenciais violações de dados. Sem autenticação adequada, dados sensíveis podem ser expostos, comprometendo a segurança do sistema.

Gravidade: Alta

Recomendações de gerenciamento de API

As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs

Descrição da política relacionada a API: as assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.

Gravidade: Média

As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome

Descrição & política relacionada: O Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.

Gravidade: Média

O endpoint de gerenciamento direto do Gerenciamento de API não deve ser habilitado

Descrição & política relacionada: A API REST de gestão direta em API Management do Azure contorna Azure Resource Manager mecanismos de controlo de acesso, autorização e limitação baseados em papéis, aumentando assim a vulnerabilidade do seu serviço.

Gravidade: Baixa

As APIs de gerenciamento de API devem usar apenas protocolos criptografados

Descrição & política relacionada: As APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS para garantir a segurança dos dados em trânsito.

Gravidade: Alta

Os valores nomeados do segredo de gestão da API devem ser armazenados no Azure Key Vault

Descrição & política relacionada: Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados tanto como texto encriptado na API Management (segredos personalizados) como referenciando segredos no Azure Key Vault. Referenciar valores nomeados de segredos do Azure Key Vault para melhorar a segurança da Gestão de APIs e dos segredos. O Azure Key Vault suporta gestão granular de acessos e políticas de rotação secreta.

Gravidade: Média

O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço

Descrição da política relacionada a Ads: Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados.

Gravidade: Média

A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior

Descrição da política relacionada a Ads: Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.

Gravidade: Média

As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas

Descrição da política relacionada a s.: As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos backends do Service Fabric.

Gravidade: Média

Conteúdos relacionados

  • Last updated on