Standardní hodnoty zabezpečení Azure pro službu App Service
Tyto standardní hodnoty zabezpečení App Service aplikují pokyny ze srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro App Service.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na App Service, byly vyloučeny. Pokud chcete zjistit, jak App Service zcela namapovat na srovnávací test zabezpečení cloudu Od Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení App Service.
Profil zabezpečení
Profil zabezpečení shrnuje chování App Service s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | Výpočetní prostředky, web |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Integrace Virtual Network se při použití prostředí App Service nakonfiguruje ve výchozím nastavení, ale při použití veřejné nabídky pro více tenantů se musí nakonfigurovat ručně.
Pokyny ke konfiguraci: Zajištění stabilní IP adresy pro odchozí komunikaci směrem k internetovým adresám: Stabilní odchozí IP adresu můžete poskytnout pomocí funkce integrace Virtual Network. To umožňuje přijímající straně, aby v případě potřeby mohla na základě IP adresy použít seznam povolených.
Při použití App Service v cenové úrovni Izolované prostředí, označované také jako App Service Environment (ASE), můžete nasazení provést přímo do podsítě v rámci Virtual Network Azure. Skupiny zabezpečení sítě použijte k zabezpečení prostředí Azure App Service blokováním příchozího a odchozího provozu k prostředkům ve virtuální síti nebo k omezení přístupu k aplikacím v App Service Environment.
V App Service s více tenanty (aplikace, která není na úrovni Isolated) povolte aplikacím přístup k prostředkům ve Virtual Network nebo prostřednictvím funkce Virtual Network Integration. Skupiny zabezpečení sítě pak můžete použít k řízení odchozího provozu z vaší aplikace. Pokud používáte Virtual Network Integration, můžete povolit konfiguraci Route All (Směrovat vše), aby veškerý odchozí provoz podléhal skupinám zabezpečení sítě a trasám definovaným uživatelem v podsíti integrace. Tato funkce se dá použít také k blokování odchozích přenosů na veřejné adresy z aplikace. Virtual Network Integration nejde použít k zajištění příchozího přístupu k aplikaci.
U komunikace směrem ke službám Azure často není potřeba záviset na IP adrese a místo toho by se měly používat mechanismy, jako jsou koncové body služeb.
Poznámka: Pro prostředí App Service skupiny zabezpečení sítě ve výchozím nastavení obsahují implicitní pravidlo zamítnutí s nejnižší prioritou a vyžadují, abyste přidali explicitní pravidla povolení. Přidejte pravidla povolení pro vaši skupinu zabezpečení sítě na základě síťového přístupu s nejnižšími oprávněními. Základní virtuální počítače, které se používají k hostování App Service Environment, nejsou přímo přístupné, protože se nacházejí v předplatném spravovaném Microsoftem.
Pokud používáte funkci integrace Virtual Network s virtuálními sítěmi ve stejné oblasti, použijte skupiny zabezpečení sítě a směrovací tabulky s trasami definovanými uživatelem. Trasy definované uživatelem je možné umístit do podsítě integrace, aby se odchozí provoz odesílal podle očekávání.
Referenční informace: Integrace aplikace s virtuální sítí Azure
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Podpora skupiny zabezpečení sítě je k dispozici pro všechny zákazníky, kteří používají prostředí App Service, ale je k dispozici pouze v aplikacích integrovaných ve virtuální síti pro zákazníky, kteří používají veřejnou nabídku pro více tenantů.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: App Service Environment sítě
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí privátních koncových bodů pro azure Web Apps povolte klientům umístěným ve vaší privátní síti zabezpečený přístup k aplikacím přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě Azure. Síťový provoz mezi klientem v privátní síti a webovou aplikací prochází přes virtuální síť a Private Link v páteřní síti Microsoftu, čímž eliminuje riziko ohrožení z veřejného internetu.
Poznámka: Privátní koncový bod se používá jenom pro příchozí toky do webové aplikace. Odchozí toky nebudou tento privátní koncový bod používat. Odchozí toky můžete vložit do sítě v jiné podsíti prostřednictvím funkce integrace virtuální sítě. Použití privátních koncových bodů pro služby na přijímající straně provozu App Service zabraňuje vzniku SNAT a poskytuje stabilní rozsah odchozích IP adres.
Další pokyny: Pokud spouštíte kontejnery na App Service, které jsou uložené v Azure Container Registry (ACR), ujistěte se, že se tyto image přetahují přes privátní síť. Uděláte to tak, že ve službě ACR nakonfigurujete privátní koncový bod, který tyto image ukládá, společně s nastavením nastavení aplikace "WEBSITE_PULL_IMAGE_OVER_VNET" ve webové aplikaci.
Referenční informace: Použití privátních koncových bodů pro webovou aplikaci Azure
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidel filtrování seznamu ACL na úrovni služby nebo privátních koncových bodů nebo nastavením publicNetworkAccess vlastnosti na zakázáno v ARM.
Referenční informace: Nastavení omezení přístupu Azure App Service
NS-5: Nasazení ochrany DDOS
Další pokyny pro NS-5
Ve virtuální síti, která je hostitelem Web Application Firewall vašeho App Service, povolte službu DDOS Protection úrovně Standard. Azure poskytuje ve své síti ochranu DDoS Basic, kterou je možné vylepšit inteligentními funkcemi DDoS Standard, které se učí o normálních vzorcích provozu a dokážou detekovat neobvyklé chování. DDoS Standard se vztahuje na Virtual Network proto musí být nakonfigurovaný pro síťový prostředek před aplikací, jako je Application Gateway nebo síťové virtuální zařízení.
NS-6: Nasazení firewallu webových aplikací
Další pokyny pro NS-6
Vyhněte se obcházení WAF pro vaše aplikace. Ujistěte se, že WAF nejde obejít uzamčením přístupu pouze k WAF. Použijte kombinaci omezení přístupu, koncových bodů služby a privátních koncových bodů.
Kromě toho můžete chránit App Service Environment směrováním provozu přes Azure Application Gateway s povolenou Web Application Firewall (WAF) nebo službu Azure Front Door.
V případě nabídky s více tenanty zabezpečte příchozí provoz do vaší aplikace pomocí následujících možností:
- Omezení přístupu: řada pravidel povolení nebo zamítnutí, která řídí příchozí přístup.
- Koncové body služby: můžou odepřít příchozí provoz mimo zadané virtuální sítě nebo podsítě.
- Privátní koncové body: Zpřístupněte aplikaci Virtual Network s privátní IP adresou. S povolenými privátními koncovými body ve vaší aplikaci už není přístupná z internetu.
Zvažte implementaci Azure Firewall pro centrální vytváření, vynucování a protokolování zásad aplikací a připojení k síti napříč předplatnými a virtuálními sítěmi. Azure Firewall používá pro prostředky virtuální sítě statickou veřejnou IP adresu, která umožňuje externím branám firewall identifikovat provoz pocházející z vaší virtuální sítě.
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: U ověřených webových aplikací používejte k ověřování a autorizaci přístupu uživatelů jenom známé známé zprostředkovatele identity. V případě, že by k aplikaci měli přistupovat jenom uživatelé z vaší organizace nebo jinak všichni uživatelé používají Azure Active Directory (Azure AD), nakonfigurujte Azure AD jako výchozí metodu ověřování pro řízení přístupu k rovině dat.
Referenční informace: Ověřování a autorizace v Azure App Service a Azure Functions
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by se zakázat, kdykoli je to možné. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Ověřování a autorizace v Azure App Service a Azure Functions
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Běžným scénářem použití spravované identity s App Service je přístup k dalším službám Azure PaaS, jako jsou Azure SQL Database, Azure Storage nebo Key Vault.
Referenční informace: Použití spravovaných identit pro App Service a Azure Functions
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Další pokyny: I když služba podporuje instanční objekty jako vzor pro ověřování, doporučujeme místo toho použít spravované identity.
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Web:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| App Service aplikace by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené ověřování zabezpečení | AuditIfNotExists, zakázáno | 3.0.0 |
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy aplikací a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů. Pomocí spravované identity v aplikaci pak zabezpečeným způsobem přistupovat k přihlašovacím údajům nebo tajným kódům uloženým v Key Vault.
Referenční informace: Použití Key Vault odkazů pro App Service a Azure Functions
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí všech žádostí Microsoftu o přístup k datům.
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Implementujte do kanálu buildu kontrolu přihlašovacích údajů k identifikaci přihlašovacích údajů v rámci kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: I když funkce identifikace, klasifikace a ochrany před únikem informací ještě nejsou pro App Service k dispozici, můžete riziko exfiltrace dat z virtuální sítě snížit odebráním všech pravidel, ve kterých cíl používá značku pro internetové služby nebo služby Azure.
Microsoft spravuje základní infrastrukturu pro App Service a implementoval přísné kontroly, které zabraňují ztrátě nebo odhalení vašich dat.
Značky vám pomůžou sledovat App Service prostředky, které ukládají nebo zpracovávají citlivé informace.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: K šifrování všech přenášených informací použijte a vynucujte výchozí minimální verzi protokolu TLS v1.2 nakonfigurovanou v nastavení TLS/SSL. Ujistěte se také, že všechny požadavky na připojení HTTP jsou přesměrovány na HTTPS.
Referenční informace: Přidání certifikátu TLS/SSL do Azure App Service
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Web:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| App Service aplikace by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru a služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. | Auditování, zakázáno, odepření | 4.0.0 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Obsah webu v aplikaci App Service, například soubory, je uložený ve službě Azure Storage, která automaticky šifruje neaktivní uložený obsah. Zvolte ukládání tajných kódů aplikace do Key Vault a jejich načtení za běhu.
Tajné kódy zadané zákazníkem se při uložení v App Service konfiguračních databázích šifrují.
Místně připojené disky můžou weby volitelně používat jako dočasné úložiště (například D:\local a %TMP%), ale neaktivní neaktivní disky se šifrují jenom ve veřejné nabídce App Service s více tenanty, kde je možné použít skladovou položku Pv3. U starších veřejných jednotek škálování s více tenanty, kde není skladová položka Pv3 k dispozici, musí zákazník vytvořit novou skupinu prostředků a znovu nasadit prostředky tam.
Kromě toho má zákazník možnost spustit svou aplikaci v App Service přímo z balíčku ZIP. Další informace najdete tady: Spuštění aplikace v Azure App Service přímo z balíčku ZIP.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Poznámka: Obsah webu v aplikaci App Service, jako jsou soubory, se ukládá ve službě Azure Storage, která automaticky šifruje neaktivní uložený obsah. Zvolte ukládání tajných kódů aplikace do Key Vault a jejich načtení za běhu.
Tajné kódy zadané zákazníkem se při uložení v App Service konfiguračních databázích šifrují.
Místně připojené disky můžou weby volitelně použít jako dočasné úložiště (například D:\local a %TMP%), ale v klidovém stavu se nešifrují.
Referenční informace: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
Referenční informace: Použití Key Vault odkazů pro App Service a Azure Functions
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: App Service se dají nakonfigurovat pomocí SSL/TLS a dalších certifikátů, které se dají konfigurovat přímo na App Service nebo na Key Vault odkazovat. Aby byla zajištěna centrální správa všech certifikátů a tajných klíčů, ukládejte všechny certifikáty používané App Service v Key Vault místo toho, abyste je nasazovali místně na App Service přímo. Pokud je tato konfigurace nakonfigurovaná, App Service automaticky stáhne nejnovější certifikát z Azure Key Vault. Ujistěte se, že generování certifikátů odpovídá definovaným standardům bez použití nezabezpečených vlastností, jako jsou: nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie. Nastavte automatickou obměnu certifikátu v Azure Key Vault na základě definovaného plánu nebo v případě vypršení platnosti certifikátu.
Referenční informace: Přidání certifikátu TLS/SSL do Azure App Service
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Poznámka: Definujte a implementujte standardní konfigurace zabezpečení pro App Service nasazené aplikace pomocí Azure Policy. Pomocí předdefinovaných definic Azure Policy a Azure Policy aliasů v oboru názvů Microsoft.Web můžete vytvářet vlastní zásady pro upozorňování, auditování a vynucování konfigurací systému. Vytvořte proces a kanál pro správu výjimek zásad.
Referenční informace: Azure Policy kontrolní mechanismy dodržování právních předpisů pro Azure App Service
AM-4: Omezení přístupu ke správě prostředků
Další pokyny pro AM-4
Izolujte systémy, které zpracovávají citlivé informace. K tomu použijte samostatné App Service Plány nebo App Service Prostředí a zvažte použití různých předplatných nebo skupin pro správu.
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender pro App Service identifikujte útoky cílené na aplikace spuštěné přes App Service. Když povolíte Microsoft Defender pro App Service, okamžitě získáte následující služby, které nabízí tento plán Defenderu:
Zabezpečení: Defender for App Service vyhodnocuje prostředky, na které se vztahuje plán App Service, a na základě jeho zjištění generuje doporučení k zabezpečení. Pokud chcete posílit zabezpečení prostředků App Service, využijte podrobné pokyny v těchto doporučeních.
Detekce: Defender for App Service detekuje velké množství hrozeb pro vaše App Service prostředky tím, že monitoruje instanci virtuálního počítače, ve kterém je App Service spuštěný, její rozhraní pro správu, požadavky a odpovědi odeslané do a z vašich App Service aplikací, základní sandboxy a virtuální počítače a App Service interní protokoly.
Referenční informace: Ochrana webových aplikací a rozhraní API
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro webové aplikace na App Service.
Referenční informace: Povolení protokolování diagnostiky pro aplikace v Azure App Service
Správa stavu a ohrožení zabezpečení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Stav a správa ohrožení zabezpečení.
PV-2: Auditování a vynucování zabezpečených konfigurací
Další pokyny pro PV-2
Vypněte vzdálené ladění. Vzdálené ladění nesmí být zapnuté pro produkční úlohy, protože tím se ve službě otevřou další porty, které zvětšují prostor pro útoky.
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Web:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolenou možnost Klientské certifikáty (příchozí klientské certifikáty) | Klientské certifikáty umožňují aplikaci vyžádat si certifikát pro příchozí požadavky. K aplikaci se budou moct připojit jenom klienti s platnými certifikáty. Tato zásada byla nahrazena novými zásadami se stejným názvem, protože HTTP 2.0 nepodporuje klientské certifikáty. | Auditování, zakázáno | 3.1.0 – zastaralé |
PV-7: Pravidelná operace s červeným týmem
Další pokyny pro PV-7
Ve webových aplikacích pravidelně testujte penetrační testy podle pravidel penetračního testování.
Backup a obnovení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, implementujte návrh bezstavových aplikací, který zjednodušuje scénáře obnovení a zálohování pomocí App Service.
Pokud opravdu potřebujete udržovat stavovou aplikaci, povolte v App Service funkci Zálohování a obnovení, která umožňuje snadno vytvářet zálohy aplikací ručně nebo podle plánu. Zálohy můžete nakonfigurovat tak, aby se uchovávalo po neomezenou dobu. Aplikaci můžete obnovit do snímku předchozího stavu přepsáním stávající aplikace nebo obnovením do jiné aplikace. Zajistěte, aby pravidelné a automatizované zálohování probíhalo s frekvencí definovanou zásadami vaší organizace.
Poznámka: App Service můžete zálohovat následující informace do účtu úložiště Azure a kontejneru, pro které jste aplikaci nakonfigurovali pro použití:
- Konfigurace aplikací
- Obsah souboru
- Databáze připojená k aplikaci
Referenční informace: Zálohování aplikace v Azure
Schopnost zálohování nativní služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Zabezpečení DevOps
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení DevOps.
DS-6: Vynucování zabezpečení úloh během celého životního cyklu DevOps
Další pokyny pro DS-6
Nasaďte kód do App Service z řízeného a důvěryhodného prostředí, jako je dobře spravovaný a zabezpečený kanál nasazení DevOps. Tím se vyhnete kódu, u kterého se neřídila verze a která nebyla ověřena pro nasazení ze škodlivého hostitele.
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure