API Management için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan API Management'a yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve API Management için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
API Management için geçerli olmayan özellikler dışlanmıştır. API Management Tamamen Microsoft bulut güvenlik karşılaştırmasına nasıl eşlediğini görmek için tam API Management güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, API Management yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Web |
| Müşteri HOST / işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Yanlış |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Ağ içindeki arka uç hizmetlerine erişebilmesi için Azure API Management bir Azure Sanal Ağ (VNET) içinde dağıtın. Geliştirici portalı ve API Management ağ geçidi İnternet'ten (Dış) veya yalnızca sanal ağ (dahili) içinden erişilebilir olacak şekilde yapılandırılabilir.
- Dış: API Management ağ geçidi ve geliştirici portalına genel İnternet'ten dış yük dengeleyici aracılığıyla erişilebilir. Ağ geçidi sanal ağ içindeki kaynaklara erişebilir.
- İç: API Management ağ geçidi ve geliştirici portalına yalnızca iç yük dengeleyici aracılığıyla sanal ağ içinden erişilebilir. Ağ geçidi sanal ağ içindeki kaynaklara erişebilir.
Başvuru: Azure API Management ile sanal ağ kullanma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasına saygı gösterir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) API Management alt ağlarınıza dağıtın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Dikkat: API Management alt ağına bir NSG yapılandırırken, açık olması gereken bir dizi bağlantı noktası vardır. Bu bağlantı noktalarından herhangi biri kullanılamıyorsa, API Management düzgün çalışmayabilir ve erişilemez duruma gelebilir.
Not: API Management için NSG kurallarını yapılandırma
Başvuru: Sanal ağ yapılandırma başvurusu: API Management
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: API Management örnekleri bir sanal ağa dağıtamadığınız durumlarda, bunun yerine bu kaynaklar için özel bir erişim noktası oluşturmak üzere bir özel uç nokta dağıtmanız gerekir.
Not: Özel uç noktaları etkinleştirmek için, API Management örneği zaten bir dış veya iç sanal ağ ile yapılandırılamaz. Özel uç nokta bağlantısı yalnızca API Management örneğine gelen trafiği destekler.
Başvuru: Özel uç nokta kullanarak API Management özel olarak bağlanma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmetin alt ağlarına atanan NSG'lerde IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Not: API Management bir sanal ağa dağıtımları destekler, ayrıca ağ tabanlı olmayan dağıtımları özel uç noktayla kilitlemeyi ve genel ağ erişimini devre dışı bırakmayı destekler.
Başvuru: Genel Ağ Erişimini Devre Dışı Bırakma
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.ApiManagement:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
NS-6: Web uygulaması güvenlik duvarı dağıtma
NS-6 için diğer yönergeler
Kritik Web/HTTP API'lerini korumak için API Management iç modda bir Sanal Ağ (VNET) içinde yapılandırın ve bir Azure Application Gateway yapılandırın. Application Gateway bir PaaS hizmetidir. Ters proxy işlevi görür ve L7 yük dengeleme, yönlendirme, web uygulaması güvenlik duvarı (WAF) ve diğer hizmetleri sağlar. Daha fazla bilgi edinin.
bir iç sanal ağda sağlanan API Management Application Gateway ön ucuyla birleştirmek aşağıdaki senaryoları etkinleştirir:
- Tüm API'leri hem iç hem de dış tüketicilerin kullanımına açmak için tek bir API Management kaynağı kullanın.
- API'lerin bir alt kümesini dış tüketicilerin kullanımına açmak için tek bir API Management kaynağı kullanın.
- Genel İnternet'ten API Management erişimi açıp kapatmanın bir yolunu sağlayın.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
veri düzlemi erişimi için gerekli Azure AD kimlik doğrulaması
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunca API Management için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın.
- Azure AD kullanarak geliştirici hesaplarının kimliğini doğrulamak için Azure API Management Geliştirici Portalınızı yapılandırın.
- Azure AD ile OAuth 2.0 protokolunu kullanarak Azure API Management örneğinizi API'lerinizi koruyacak şekilde yapılandırın.
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olduğunca devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Veri düzlemi erişimi için yerel kimlik doğrulama yöntemlerinin kullanımını kısıtlayın, API Management kullanıcı hesaplarının envanterini koruyun ve gerektiğinde erişimi uzlaştırın. API Management'da geliştiriciler, API Management ile kullanıma sunulan API'lerin tüketicileridir. Varsayılan olarak, yeni oluşturulan geliştirici hesapları Etkindir ve Geliştiriciler grubuyla ilişkilendirilir. Etkin durumdaki geliştirici hesapları, abonelikleri olan tüm API'lere erişmek için kullanılabilir.
Ayrıca Azure API Management abonelikleri API'lere erişimin güvenliğini sağlamanın bir aracıdır ve döndürmeyi destekleyen bir çift oluşturulmuş abonelik anahtarıyla birlikte gelir.
Mümkün olduğunda veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanabileceğiniz diğer kimlik doğrulama yöntemlerini kullanmak yerine.
Başvuru: Basic ile kimlik doğrulaması
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: API Management örneğinizin hizmet sorumlularını kullanmak yerine Azure Key Vault gibi diğer Azure AD korumalı kaynaklara kolayca ve güvenli bir şekilde erişmesini sağlamak için Azure Active Directory (Azure AD) tarafından oluşturulan yönetilen hizmet kimliğini kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.
Başvuru: Yönetilen kimlikle kimlik doğrulaması
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
IM-5: Uygulama erişimi için çoklu oturum açma (SSO) kullanma
IM-5 için diğer yönergeler
Azure API Management, Azure AD tarafından sunulan SSO özelliklerinden yararlanmak için Geliştirici Portalı'nda kullanıcıların kimliğini doğrulamak için kimlik sağlayıcısı olarak Azure Active Directory'den (Azure AD) yararlanacak şekilde yapılandırılabilir. Yapılandırıldıktan sonra, yeni Geliştirici Portalı kullanıcıları ilk olarak Azure AD kimlik doğrulaması yaparak ve ardından kimlik doğrulamasından geçtikten sonra portalda kaydolma işlemini tamamlayarak kullanıma hazır kayıt işlemini izlemeyi seçebilir.
Alternatif olarak, oturum açma/kaydolma işlemi temsilci seçme yoluyla daha da özelleştirilebilir. Temsilci seçme, geliştirici portalındaki yerleşik işlevselliği kullanmanın aksine, mevcut web sitenizi geliştirici oturum açma/kaydolma ve ürünlere abonelik işlemlerini işlemek için kullanmanıza olanak tanır. Web sitenizin kullanıcı verilerine sahip olmasını ve bu adımların doğrulamasını özel bir şekilde gerçekleştirmesini sağlar.
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: azure Key Vault ile API Management tümleştirmesini ayarlama. API Management gizli dizilerinin (Adlandırılmış değerler) güvenli bir şekilde erişilebilmeleri ve güncelleştirilebilmeleri için bir Azure Key Vault depolandığından emin olun.
Başvuru: Key Vault Tümleştirmesi ile Azure API Management ilkelerinde adlandırılmış değerleri kullanma
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.ApiManagement:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| API Management en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır | Hizmet gizli dizilerinin salt okunur kullanıcılarla paylaşılmasını önlemek için en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Rutin yönetim işlemleri için gerekli değilse, yerel yönetici hesaplarını yalnızca acil kullanım için devre dışı bırakın veya kısıtlayın.
Not: API Management yerel kullanıcı hesabı oluşturulmasına izin verir. Bu yerel hesapları oluşturmak yerine, yalnızca Azure Active Directory (Azure AD) kimlik doğrulamasını etkinleştirin ve bu Azure AD hesaplarına izinler atayın.
Başvuru: Azure API Management'da kullanıcı hesaplarını yönetme
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure API Management erişimi denetlemek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure API Management, API Management hizmetleri ve varlıkları (örneğin API'ler ve ilkeler) için ayrıntılı erişim yönetimini etkinleştirmek için Azure rol tabanlı erişim denetimine dayanır.
Başvuru: Azure API Management'de Role-Based Access Control kullanma
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.ApiManagement:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| API Management aboneliklerin kapsamı tüm API'ler olarak kapsamına alınmamalıdır | API Management aboneliklerin kapsamı tüm API'ler yerine bir ürün veya tek bir API olarak belirlenmiş olmalıdır ve bu da verilerin aşırı maruz kalmasıyla sonuçlanabilir. | Denetim, Devre Dışı, Reddet | 1.1.0 |
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Gözden geçirmek için Müşteri Kasası'na tıklayın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri taşımayı (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure API Management'de protokolleri ve şifreleri yönetme
DP-3 için diğer yönergeler
Yönetim düzlemi çağrıları TLS üzerinden Azure Resource Manager üzerinden yapılır. Geçerli bir JSON web belirteci (JWT) gereklidir. Veri düzlemi çağrıları TLS ve desteklenen kimlik doğrulama mekanizmalarından biriyle (örneğin, istemci sertifikası veya JWT) güvenli hale getirilebilir.
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.ApiManagement:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| API Management API'leri yalnızca şifrelenmiş protokolleri kullanmalıdır | Aktarımdaki verilerin güvenliğini sağlamak için API'ler yalnızca HTTPS veya WSS gibi şifrelenmiş protokoller aracılığıyla kullanılabilir olmalıdır. HTTP veya WS gibi güvenli olmayan protokoller kullanmaktan kaçının. | Denetim, Devre Dışı, Reddet | 2.0.2 |
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: API ayarları, ürünler, abonelikler, kullanıcılar, gruplar ve özel geliştirici portalı içeriği dahil olmak üzere API Management bir örnekteki müşteri verileri, SQL Azure veritabanında ve Bekleyen içeriği otomatik olarak şifreleyen Azure Depolama'da depolanır.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-6: Güvenli bir anahtar yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: azure Key Vault ile API Management tümleştirmesini ayarlama. API Management tarafından kullanılan anahtarların güvenli bir şekilde erişilebilmeleri ve güncelleştirilebilmeleri için bir Azure Key Vault depolandığından emin olun.
Başvuru: Anahtar kasası tümleştirmesi için önkoşullar
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.ApiManagement:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| API Management gizli dizi adlı değerler Azure Key Vault'de depolanmalıdır | Adlandırılmış değerler, her API Management hizmetindeki ad ve değer çiftlerinden oluşan bir koleksiyonlardır. Gizli dizi değerleri, API Management(özel gizli diziler) içinde şifrelenmiş metin olarak veya Azure Key Vault'da gizli dizilere başvurarak depolanabilir. API Management ve gizli dizilerin güvenliğini artırmak için Azure Key Vault adlı gizli diziye başvurun. Azure Key Vault ayrıntılı erişim yönetimi ve gizli dizi döndürme ilkelerini destekler. | Denetim, Devre Dışı, Reddet | 1.0.2 |
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: azure Key Vault ile API Management tümleştirmesini ayarlama. API Management gizli dizilerinin (Adlandırılmış değerler) güvenli bir şekilde erişilebilmeleri ve güncelleştirilebilmeleri için bir Azure Key Vault depolandığından emin olun.
Sertifika oluşturma, içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault ve Azure hizmetinde (destekleniyorsa) sertifikanın otomatik olarak döndürülmesi için tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlama. Uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault ve uygulamadaki el ile yöntemler kullanılarak bunların hala döndürülmüş olduğundan emin olun.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: API Management kaynaklar arasında güvenli yapılandırmayı izlemek ve zorunlu kılmak için yerleşik Azure İlkesi kullanın. Gerektiğinde özel Azure İlkesi tanımları oluşturmak için "Microsoft.ApiManagement" ad alanında Azure İlkesi diğer adları kullanın.
Başvuru: Azure API Management için yerleşik ilke tanımlarını Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bulut için Microsoft Defender özelliği olan API'ler için Defender, Azure API Management'de yönetilen API'ler için tam yaşam döngüsü koruması, algılama ve yanıt kapsamı sunar.
API'ler için Defender'a API'leri eklemek iki adımlı bir işlemdir: abonelik için Defender API'leri planını etkinleştirme ve API Management örneklerinize korumasız API'ler ekleme.
API Management örneğinizin menüsünde Bulut için Microsoft Defender'ı seçerek eklenen API'ler için tüm güvenlik önerilerinin ve uyarılarının özetini görüntüleyin.
Başvuru: Bulut için Microsoft Defender kullanarak gelişmiş API güvenlik özelliklerini etkinleştirme
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: API Management için kaynak günlüklerini etkinleştirin. Kaynak günlükleri, denetim ve sorun giderme amacıyla önemli olan işlemler ve hatalar hakkında zengin bilgiler sağlar. API Management için kaynak günlüklerinin kategorileri şunlardır:
- GatewayLogs
- WebSocketConnectionLogs
Başvuru: APIM Kaynak Günlükleri
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Ek Rehberlik: Azure API Management hizmetinde yedekleme ve geri yükleme özelliklerinden yararlanın. Yedekleme özelliklerinden yararlanırken, Azure API Management yedekleri müşteriye ait Azure Depolama hesaplarına yazar. Yedekleme ve geri yükleme işlemleri, tam sistem yedekleme ve geri yükleme gerçekleştirmek için Azure API Management tarafından sağlanır.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin