使用Defender防护OWASP API十大安全风险 ...

概述

Microsoft Defender for APIs 提供了全面的 API 全生命周期保护，涵盖检测和响应功能。通过 Defender for APIs，您可以深入了解业务关键型 API，调查并优化 API 安全态势，优先修复漏洞，同时快速检测和应对实时威胁。

概念

攻击路径分析

Defender for Cloud 利用环境上下文对安全问题进行风险评估，并识别出最大的安全风险。通过分析潜在的攻击路径，Defender for Cloud 能够发现攻击者可能利用的安全问题，帮助您更有效地保护环境。有关详细信息，请参考识别和修复攻击路径。

Defender for APIs 与 OWASP API 安全十大风险的覆盖范围

对象级授权中断（API1:2023）

安全警报：检测到单个 IP 在 API 终结点上进行参数枚举。
安全警报：观察到多个用户群体（所有 IP）在 API 终结点上进行分布式参数枚举。

身份验证失败（API2:2023）

安全建议：Azure API 管理中的 API 端点应强制进行身份验证，以降低安全风险。
安全建议：从 API 管理层到后端的调用应使用证书或凭据进行身份验证。

破碎对象属性级授权（API3:2023）

安全警报：检测到单个 IP 使用以前未见过的参数访问 API 终结点。
安全警报：单个 IP 和 API 终结点之间的响应有效负载大小出现异常峰值。

无限制资源消耗（API4:2023）

安全警报：检测到 API 终结点的流量在人群中出现可疑峰值。
安全警报：单个 IP 到 API 终结点的流量出现异常峰值。
安全警报：单个 IP 和 API 终结点之间的请求正文大小异常。
安全警报：单个 IP 和 API 终结点之间的通信延迟出现异常峰值。
安全警报：单个 IP 对大量不同 API 终结点进行异常调用。
安全建议：不应启用 API 管理直接管理端点，以避免绕过基于角色的访问控制和授权机制。

功能级别授权中断（API5:2023）

攻击路径分析：未经验证的互联网暴露 API 携带敏感数据。

不受限制地访问敏感业务流（API6:2023）

安全警报：检测到单个 IP 到 API 终结点的流量出现异常峰值。

安全配置错误（API8:2023）

安全建议：未使用的 API 端点应禁用并从 Azure API 管理服务中移除。
安全建议：API 应仅通过加密协议（如 HTTPS 或 WSS）进行访问，避免使用不安全的协议。
安全建议：API 管理的机密命名值应存储在 Azure 密钥库中。
安全建议：应禁用对服务配置端点的公共网络访问，以提高安全性。
安全建议：从 API 管理层到后端的调用应通过身份验证（不适用于 Service Fabric 后端）。

库存管理不当（API9:2023）

库存仪表盘：集中展示所有托管 API 及其相关的安全调查结果。
外部暴露：对外部暴露的 API 端点进行分类。
敏感数据分类：对接收或响应敏感数据的 API 进行分类，并支持与 Microsoft MIP Purview 集成。

API 安全测试

Microsoft Defender for Cloud 支持第三方工具，以增强 Defender for APIs 的运行时安全功能。通过在开发生命周期的早期阶段（包括 DevOps 管道）支持主动的 API 安全测试，Defender for Cloud 能够帮助安全团队在漏洞部署到生产环境之前发现并修复这些问题。

这种支持实现了 API 的全生命周期安全，涵盖 OWASP API 前十大风险，同时简化了与第三方解决方案的集成和编排。有关更多信息，请参考 Microsoft Defender for Cloud for API 安全测试中的合作伙伴应用程序（预览）。

总结

Microsoft Defender for APIs 提供了全面的安全解决方案，覆盖 OWASP API 前十大风险。通过结合 Azure API 管理和 API 安全漏洞的风险，保护关键业务数据。

原文链接: https://techcommunity.microsoft.com/blog/microsoftdefendercloudblog/protect-against-owasp-api-top-10-security-risks-using-defender-for-apis/4093913