API/API Management 보안 권장 사항
이 문서에서는 클라우드용 Microsoft Defender 볼 수 있는 모든 API/API Management 보안 권장 사항을 나열합니다.
사용자 환경에 표시되는 권장 사항은 보호 중인 리소스와 사용자 지정된 구성을 기반으로 합니다.
이러한 권장 사항에 대한 응답으로 수행할 수 있는 작업에 대해 알아보려면 클라우드용 Defender 권장 사항 수정을 참조하세요.
Azure API 권장 사항
API용 Microsoft Defender를 사용하도록 설정해야 함
설명 및 관련 정책: API용 Defender 계획이 공격 및 보안 잘못된 구성으로부터 API 리소스를 검색하고 보호하도록 설정합니다. 자세한 정보
심각도: 높음
Azure API Management API를 Defender for API에 온보딩해야 합니다.
설명 및 관련 정책: API를 Defender for API에 온보딩하려면 Azure API Management 서비스에서 컴퓨팅 및 메모리 사용률이 필요합니다. API를 온보딩하는 동안 Azure API Management 서비스의 성능을 모니터링하고 필요에 따라 Azure API Management 리소스를 스케일 아웃합니다.
심각도: 높음
사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함
설명 및 관련 정책: 보안 모범 사례로, 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 사용되지 않지만 실수로 활성 상태로 남겨진 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용을 받지 못합니다.
심각도: 낮음
Azure API Management의 API 엔드포인트를 인증해야 함
설명 및 관련 정책: Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. Azure API Management에 게시된 API의 경우 이 권장 사항은 구독이 필요한 API 또는 제품에 대한 Azure API Management 구독 키의 존재 여부와 JWT, 클라이언트 인증서 및 Microsoft Entra 토큰의 유효성을 검사하기 위한 정책 실행을 확인하여 인증을 평가합니다. API 호출 중에 이러한 인증 메커니즘 중 어느 것도 실행되지 않으면 API가 해당 권장 사항을 수신합니다.
심각도: 높음
API Management 권장 사항
API 관리 구독의 범위를 모든 API로 지정해서는 안 됨
설명 및 관련 정책: API Management 구독의 범위를 모든 API 대신 제품 또는 개별 API로 지정해야 하므로 데이터가 과도하게 노출될 수 있습니다.
심각도: 보통
API 백 엔드에 대한 API Management 호출은 인증서 지문 또는 이름 유효성 검사를 바이패스해서는 안 됨
설명 및 관련 정책: API Management는 모든 API 호출에 대해 백 엔드 서버 인증서의 유효성을 검사해야 합니다. API 보안을 개선하려면 SSL 인증서 지문 및 이름 유효성 검사를 사용하도록 설정합니다.
심각도: 보통
API Management 직접 관리 엔드포인트를 사용하도록 설정하면 안 됨
설명 및 관련 정책: Azure API Management의 직접 관리 REST API는 Azure Resource Manager 역할 기반 액세스 제어, 권한 부여 및 제한 메커니즘을 우회하여 서비스의 취약성을 증가합니다.
심각도: 낮음
API Management API는 암호화된 프로토콜만 사용해야 함
설명 및 관련 정책: API는 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 사용할 수 있어야 합니다. 전송 중인 데이터의 보안을 보장하려면 HTTP 또는 WS와 같은 보호되지 않은 프로토콜을 사용하지 마세요.
심각도: 높음
API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함
설명 및 관련 정책: 명명된 값은 각 API Management 서비스의 이름 및 값 쌍 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 개선하려면 Azure Key Vault의 비밀 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다.
심각도: 보통
API Management에서 서비스 구성 엔드포인트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
설명 및 관련 정책: API Management 서비스의 보안을 향상하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스팅 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다.
심각도: 보통
API Management 최소 API 버전은 2019-12-01 이상으로 설정해야 함
설명 및 관련 정책: 서비스 비밀이 읽기 전용 사용자와 공유되지 않도록 하려면 최소 API 버전을 2019-12-01 이상으로 설정해야 합니다.
심각도: 보통
API 백 엔드에 대한 API Management 호출을 인증해야 함
설명 및 관련 정책: API Management에서 백 엔드로의 호출은 인증서 또는 자격 증명을 통해 어떤 형태의 인증을 사용해야 합니다. Service Fabric 백 엔드에는 적용되지 않습니다.
심각도: 보통