你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud中的Defender云安全状况管理(CSPM)计划让您获得 Azure API 管理、函数应用和逻辑应用程序的 API 全景视图。 它通过查找配置错误和漏洞帮助你提高 API 安全性。 本文介绍如何在Defender CSPM计划中启用 API 安全状况管理并评估 API 安全性。 Defender CSPM在没有代理的情况下载入 API,并定期检查风险和敏感数据泄露。 它通过 API 攻击路径分析和安全建议,提供优先级风险洞察和缓解措施。
注意
Microsoft Defender for Cloud中的 API 发现和安全状况功能现在还支持 Function Apps 和 Logic Apps。 此功能目前以 预览版提供。
Prerequisites
- 阅读有关 改进 API 安全状况的信息。
- 需要Microsoft Azure订阅。 如果没有,可注册免费订阅。
- 在 Azure 订阅上启用 Defender for Cloud。
- 在 Azure 订阅上启用 Defender 云安全状况管理 (CSPM)。
- 订阅所有者必须启用 CSPM 计划才能访问所有功能。
- 确保要保护的 API 部署在 Azure API 管理、Function Apps 或 Logic Apps 中。
云和区域支持
Defender CSPM中的 API 安全状况管理在Azure商业云中提供,位于以下区域:
- 亚洲(东南亚、东亚)
- 澳大利亚(澳大利亚东部、澳大利亚东南部、澳大利亚中部、澳大利亚中部 2)
- 巴西(巴西南部、巴西东南部)
- 加拿大(加拿大中部、加拿大东部)
- 欧洲(西欧、北欧)
- 法国(法国中部、法国南部)
- 德国(德国中西部,德国北部)
- 印度(印度中部、印度南部、印度西部)
- 意大利(意大利北部)
- 日本(日本东部、日本西部)
- 韩国(韩国中部、韩国南部)
- 挪威(挪威东部、挪威西部)
- 南非(南非北部、南非西部)
- 瑞典(瑞典中部、瑞典南部)
- 瑞士 (瑞士北部、瑞士西部)
- 英国(英国南部、英国西部)
- 美国(美国东部、美国东部 2、美国西部、美国西部 2、美国西部 3、美国中部、美国中北部、美国中南部、美国中西部、美国东部 2 EUAP、美国中部 EUAP)
查看
API 支持
| 功能 | 支持 |
|---|---|
| 可用性 |
Azure API 管理:此功能在Azure API 管理的高级、标准层、基本层和开发人员层中提供。 它不支持通过 API 管理 自承载网关 公开或通过 API 管理 工作区管理的 API。 Azure 应用 Services: 支持的 Azure Functions 应用托管层包括高级层、弹性高级层、专用(应用服务)和应用服务环境(ASE)。 对于 Azure 逻辑应用,支持的层包括标准(Single-Tenant)和应用服务环境(ASE)。 不支持消耗层函数应用、消耗层逻辑应用和启用Azure Arc的逻辑应用。 |
| API 类型 | 仅支持 REST API。 |
启用 API 安全态势管理扩展
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>环境设置。
选择相关订阅。
找到Defender CSPM计划并选择 Settings。
启用 API 安全状况管理。
选择继续。
选择“保存”。
出现了一条通知消息,确认设置已成功保存。 启用后,API 开始载入,并在几个小时内显示在Defender for Cloud清单中。
查看 API 资产清单
载入到Defender CSPM计划的 API 显示在 API 安全仪表板的 Workload protection 和 Microsoft Defender for Cloud Inventory 下。
导航到“Defender for Cloud”菜单的“云安全”部分,然后在
Advanced Workload protections 下选择API 安全性。 
仪表板显示载入的 API 数,按 API 集合、终结点和Azure API 管理服务细分。 它包括使用 API 工作负载保护计划Defender载入的威胁检测安全覆盖的 API 摘要。
应用筛选器 Defender plan == Defender CSPM 以查看载入到Defender CSPM计划的 API。
选择“确定”。
选择感兴趣的 API 操作,查看特定 API 操作的安全发现。
API 终结点详细检测结果
敏感信息类型:根据支持的数据类型,提供 API URL 路径、查询参数、请求体和响应体中暴露的敏感信息详情,以及发现的信息类型来源。
其他信息:对于 API 响应正文,此字段显示哪些 HTTP 响应代码包含敏感信息(如 2xx、3xx、4xx)。
在Microsoft Defender for Cloud清单体验中查看 API 安全状况发现以及 API 清单。
注意
如果未启用敏感数据发现扩展,则不会扫描敏感数据泄露情况。 若要扫描 API 中的敏感信息,必须 启用敏感数据发现。 此设置仅影响载入Defender CSPM计划的 API。 如果在同一 API 上为 API 工作负荷保护计划启用Defender,则会扫描它们以获取敏感数据。
调查 API 安全建议
Defender for Cloud持续评估 API 终结点是否存在配置错误和漏洞,包括身份验证缺陷和非活动 API。 它生成安全建议,其中包含相关的风险因素,例如外部暴露和数据敏感度风险。 Defender for Cloud根据这些风险因素计算安全建议的重要性。 了解更多关于基于风险的安全建议。
要调查 API 安全态势建议,请执行以下操作:
转到Defender for Cloud主菜单,然后选择Recommendations。
选择“ 按标题分组 ”切换以组织建议。
按 资源类型 (例如 API 管理作 或 API 终结点)进行筛选,或按 建议名称 筛选,以缩小与 API 相关的建议,以面向特定 API 安全问题。
有关 API 相关建议的完整列表,请查看Defender for Cloud建议参考指南中的 APIs 部分。
通过攻击路径分析探索 API 风险并进行修正
云安全资源管理器通过查询云安全图表,帮助你识别云环境中的潜在安全风险。
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>Cloud 安全资源管理器。
使用内置查询模板快速识别具有安全洞察的 API。
或者,使用云安全资源管理器构建自定义查询,查找 API 风险并查看连接到后端计算或数据存储的 API 终结点。 例如,你可以查看将流量路由到存在远程代码漏洞的虚拟机的 API 终结点。
Defender for Cloud中的攻击路径分析解决了对云应用程序和环境构成直接威胁的安全问题。 识别并修正 API 主导的攻击路径,以解决可能严重威胁组织的最关键 API 风险。
在“Defender for Cloud”菜单中,转到“攻击路径分析”。
按资源类型“API Management 操作”筛选,调查与 API 相关的攻击路径。
查看范围内 API 终结点的安全建议,并修正这些建议,以保护 API 免受高风险攻击面的威胁。
退出 API 安全态势保护
不能卸载属于Defender CSPM计划的单个 API。 若要从Defender CSPM计划中卸载所有 API,请转到“Defender CSPM计划设置”页并禁用 API 状况扩展。
选择 “继续 ”,然后选择 “保存” 以确认。 此操作会从Defender CSPM计划卸载所有 API,并禁用 API 安全状况管理。
相关内容
- 使用Defender for APIs 工作负荷保护监视 API 威胁。