Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica las instrucciones del Microsoft cloud security benchmark versión 1.0 a API Management. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a API Management.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a API Management. Para ver cómo API Management se asigna completamente al estándar de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea base de seguridad de API Management.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de API Management, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | La web |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena el contenido del cliente en reposo | Falso |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente Azure API Management dentro de una instancia de Azure Virtual Network (VNET), por lo que puede acceder a los servicios de back-end dentro de la red. El portal para desarrolladores y la puerta de enlace de API Management se pueden configurar para que sean accesibles desde Internet (externo) o solo dentro de la red virtual (interna).
- Externo: la puerta de enlace de API Management y el portal para desarrolladores son accesibles desde la red pública de Internet a través de un equilibrador de carga externo. La puerta de enlace puede acceder a los recursos dentro de la red virtual.
- Interno: la puerta de enlace de API Management y el portal para desarrolladores solo son accesibles desde dentro de la red virtual a través de un equilibrador de carga interno. La puerta de enlace puede acceder a los recursos dentro de la red virtual.
Referencia: Uso de una red virtual con Azure API Management
Soporte de grupos de seguridad de red
Descripción: El tráfico de la red del servicio respeta la asignación de reglas de los grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: implemente grupos de seguridad de red (NSG) en las subredes de API Management para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico de la red virtual y los Azure Load Balancers.
Precaución: al configurar un grupo de seguridad de red en la subred de API Management, hay un conjunto de puertos que deben estar abiertos. Si alguno de estos puertos no está disponible, API Management puede no funcionar correctamente y puede que no sea accesible.
Nota: Configuración de reglas de NSG para API Management
Referencia: Referencia de configuración de red virtual: API Management
NS-2: Protección de servicios en la nube con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: en instancias en las que no se pueden implementar instancias de API Management en una red virtual, en su lugar debe implementar un punto de conexión privado para establecer un punto de acceso privado para esos recursos.
Nota: Para habilitar puntos de conexión privados, la instancia de API Management aún no se puede configurar con una red virtual externa o interna. Una conexión de extremo privado solo admite el tráfico entrante a la instancia de API Management.
Referencia: Conexión privada a API Management mediante un punto de conexión privado
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP en los NSG asignados a las subredes del servicio o un conmutador de alternancia para el acceso a la red pública.
Nota: API Management admite implementaciones en una red virtual, así como bloquear implementaciones no basadas en red con un punto de conexión privado y deshabilitar el acceso a la red pública.
Referencia: Deshabilitar el acceso a la red pública
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Auditar, Denegar, Deshabilitado | 1.0.2 |
NS-6: Implementación de un firewall de aplicaciones web
Otras instrucciones para NS-6
Para proteger las API web o HTTP críticas, configure API Management dentro de una red virtual (VNET) en modo interno y configure una instancia de Azure Application Gateway. Application Gateway es un servicio PaaS. Actúa como proxy inverso y proporciona equilibrio de carga L7, enrutamiento, firewall de aplicaciones web (WAF) y otros servicios. Más información.
La combinación de API Management aprovisionada en una red virtual interna con el front-end de Application Gateway permite los siguientes escenarios:
- Use un único recurso de API Management para exponer todas las API a consumidores internos y consumidores externos.
- Use un único recurso de API Management para exponer un subconjunto de API a consumidores externos.
- Proporcione una forma de activar y desactivar el acceso a API Management desde la red pública de Internet.
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para API Management siempre que sea posible.
- Configure el Portal para desarrolladores de Azure API Management para autenticar cuentas de desarrollador mediante Azure AD.
- Configure la instancia de Azure API Management para proteger las API mediante el protocolo OAuth 2.0 con Azure AD.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos, mantenga el inventario de las cuentas de usuario de API Management y concilie el acceso según sea necesario. En API Management, los desarrolladores son los consumidores de las API que se exponen con API Management. De forma predeterminada, las cuentas de desarrollador recién creadas son Activas y asociadas al grupo Desarrolladores. Las cuentas de desarrollador que se encuentran en un estado activo se pueden usar para acceder a todas las API para las que tienen suscripciones.
Además, las suscripciones de Azure API Management son un medio para proteger el acceso a las API y vienen con un par de claves de suscripción generadas que admiten la rotación.
En su lugar de usar otros métodos de autenticación, siempre que sea posible use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticación con Básico
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use una identidad de servicio administrada generada por Azure Active Directory (Azure AD) para permitir que la instancia de API Management acceda de forma sencilla y segura a otros recursos protegidos por Azure AD, como Azure Key Vault en lugar de usar entidades de servicio. Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Referencia: Autenticación con identidad administrada
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
IM-5: Uso del inicio de sesión único (SSO) para el acceso a aplicaciones
Otras instrucciones para IM-5
Azure API Management se puede configurar para aprovechar Azure Active Directory (Azure AD) como proveedor de identidades para autenticar a los usuarios en el Portal para desarrolladores con el fin de beneficiarse de las funcionalidades de inicio de sesión único que ofrece Azure AD. Una vez configurado, los nuevos usuarios del Portal para desarrolladores pueden optar por seguir el proceso de registro predefinido mediante la autenticación a través de Azure AD y, a continuación, completar el proceso de registro en el portal una vez autenticado.
Como alternativa, el proceso de inicio de sesión o registro se puede personalizar aún más mediante la delegación. La delegación le permite usar el sitio web existente para controlar el inicio de sesión o registro del desarrollador y la suscripción a productos, en lugar de usar la funcionalidad integrada en el portal para desarrolladores. Permite que su sitio web posea los datos de usuario y realice la validación de estos pasos de forma personalizada.
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restringir la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales de servicio y secretos con soporte en Azure Key Vault.
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que los secretos de API Management (valores con nombre) se almacenan en Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Referencia: Uso de valores denominados en políticas de Azure API Management con integración a Key Vault
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| La versión mínima de API Management debería establecerse en 01-12-2019 o superior | Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. | Auditar, Denegar, Deshabilitado | 1.0.1 |
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: si no es necesario para las operaciones administrativas rutinarias, deshabilite o restrinja cualquier cuenta de administrador local solo para uso de emergencia.
Nota: API Management permite la creación de una cuenta de usuario local. En lugar de crear estas cuentas locales, habilite solo la autenticación de Azure Active Directory (Azure AD) y asigne permisos a estas cuentas de Azure AD.
Referencia: Administración de cuentas de usuario en Azure API Management
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use el control de acceso basado en rol de Azure (Azure RBAC) para controlar el acceso a Azure API Management. Azure API Management se basa en el control de acceso basado en rol de Azure para habilitar la administración de acceso específica para servicios y entidades de API Management (por ejemplo, API y directivas).
Referencia: Cómo usar el Control de Acceso Basado en Roles en Azure API Management
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las suscripciones de API Management no deben tener como ámbito todas las API | Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. | Auditar, Deshabilitado, Denegar | 1.1.0 |
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: La Customer Lockbox puede utilizarse para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía de configuración: En escenarios de soporte técnico en los que Microsoft necesita acceder a tus datos, utiliza Customer Lockbox para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a tus datos por parte de Microsoft.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de filtración/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Administración de protocolos y cifrados en Azure API Management
Otras instrucciones para DP-3
Las llamadas del plano de administración se realizan a través de Azure Resource Manager a través de TLS. Se requiere un token web JSON válido (JWT). Las llamadas al plano de datos se pueden proteger con TLS y uno de los mecanismos de autenticación admitidos (por ejemplo, el certificado de cliente o JWT).
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las API de API Management solo deben usar protocolos cifrados | Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. | Auditar, Deshabilitado, Denegar | 2.0.2 |
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: los datos del cliente de una instancia de API Management, incluida la configuración de API, los productos, las suscripciones, los usuarios, los grupos y el contenido del portal para desarrolladores personalizados, se almacenan en una base de datos de SQL Azure y en Azure Storage, que cifra automáticamente el contenido en reposo.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que las claves usadas por API Management se almacenan en Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Referencia: Requisitos previos para la integración de la bóveda de claves
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.ApiManagement:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | Los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y secretos, haga referencia a los valores con nombre del secreto de Azure Key Vault. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos. | Auditar, Deshabilitado, Denegar | 1.0.2 |
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: configuración de la integración de API Management con Azure Key Vault. Asegúrese de que los secretos de API Management (valores con nombre) se almacenan en Azure Key Vault para que se puedan acceder y actualizar de forma segura.
Use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez excesivamente largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen girando mediante métodos manuales en Azure Key Vault y la aplicación.
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use la política integrada de Azure Policy para supervisar e implementar una configuración segura en los recursos de API Management. Use alias de Azure Policy en el espacio de nombres "Microsoft.ApiManagement" para crear definiciones personalizadas de Azure Policy cuando sea necesario.
Referencia: Definiciones de directivas integradas de Azure Policy para Azure API Management
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de microsoft Defender para servicio o producto
Descripción: El servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: Defender para API, una funcionalidad de Microsoft Defender for Cloud, ofrece protección completa del ciclo de vida, detección y cobertura de respuesta para las API administradas en Azure API Management.
La incorporación de API a Defender para API es un proceso de dos pasos: habilitar el plan de Defender para API para la suscripción e incorporar API desprotegidas en las instancias de API Management.
Para ver un resumen de todas las recomendaciones y alertas de seguridad de las API incorporadas, seleccione Microsoft Defender for Cloud en el menú de la instancia de API Management.
Referencia: Habilitación de características avanzadas de seguridad de API mediante Microsoft Defender for Cloud
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos para API Management, los registros de recursos proporcionan información enriquecida sobre las operaciones y los errores que son importantes para fines de auditoría y solución de problemas. Entre las categorías de registros de recursos de API Management se incluyen las siguientes:
- GatewayLogs
- WebSocketConnectionLogs
Referencia: Registros de recursos de APIM
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Shared |
Guía adicional: Aproveche las funcionalidades de copia de seguridad y restauración en el servicio Azure API Management. Al aprovechar las funcionalidades de copia de seguridad, Azure API Management escribe copias de seguridad en cuentas de Azure Storage propiedad del cliente. Azure API Management proporciona operaciones de copia de seguridad y restauración para realizar copias de seguridad y restauración completas del sistema.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure