Standardní hodnoty zabezpečení Azure pro App Service

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 na App Service. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro App Service.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Funkce, které se nevztahují na App Service, byly vyloučeny. Pokud chcete zjistit, jak App Service zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení App Service.

Profil zabezpečení

Profil zabezpečení shrnuje chování App Service s vysokým dopadem, což může vést ke zvýšení bezpečnostních aspektů.

Atribut chování služby Hodnota
Kategorie produktu Výpočty, web
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ano
Ukládá neaktivní uložený obsah zákazníka. Ano

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Integrace Virtual Network je ve výchozím nastavení nakonfigurovaná při použití App Service Prostředí, ale při použití veřejné nabídky s více tenanty je nutné ji nakonfigurovat ručně.

Pokyny k konfiguraci: Zajištění stabilní IP adresy pro odchozí komunikaci vůči internetovým adresám: Pomocí funkce integrace Virtual Network můžete poskytnout stabilní odchozí IP adresu. To umožňuje přijímající straně povolit seznam na základě IP adresy, která by měla být potřebná.

Při použití App Service v izolované cenové úrovni označované také jako App Service Environment (ASE) můžete nasadit přímo do podsítě v rámci azure Virtual Network. Skupiny zabezpečení sítě můžete použít k zabezpečení prostředí Azure App Service blokováním příchozího a odchozího provozu do prostředků ve vaší virtuální síti nebo omezením přístupu k aplikacím v App Service Environment.

V App Service s více tenanty (aplikace, která není v izolované vrstvě), povolte aplikacím přístup k prostředkům v Virtual Network pomocí funkce integrace Virtual Network. Skupiny zabezpečení sítě pak můžete použít k řízení odchozího provozu z vaší aplikace. Při použití integrace Virtual Network můžete povolit konfiguraci Route All (Směrovat vše) tak, aby veškerý odchozí provoz podléhal skupinám zabezpečení sítě a uživatelsky definovaným trasám v podsíti integrace. Tato funkce se dá použít také k blokování odchozího provozu na veřejné adresy z aplikace. Virtual Network Integraci nelze použít k poskytování příchozího přístupu k aplikaci.

Pro komunikaci se službami Azure často není nutné záviset na IP adrese a mechanikách, jako jsou koncové body služby.

Poznámka: Skupiny zabezpečení sítě ve výchozím nastavení App Service obsahují implicitní pravidlo odepření s nejnižší prioritou a vyžaduje přidání explicitních pravidel povolení. Přidejte pravidla povolení pro vaši skupinu zabezpečení sítě na základě přístupu k nejméně privilegovaným sítím. Základní virtuální počítače používané k hostování App Service Environment nejsou přímo přístupné, protože jsou v předplatném spravovaném Microsoftem.

Při použití funkce integrace Virtual Network s virtuálními sítěmi ve stejné oblasti použijte skupiny zabezpečení sítě a směrovací tabulky s uživatelsky definovanými trasami. Trasy definované uživatelem je možné umístit do podsítě integrace, aby se odesílaly odchozí přenosy podle zamýšleného účelu.

Referenční informace: Integrace aplikace s virtuální sítí Azure

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Poznámky k funkcím: Podpora skupin zabezpečení sítě je dostupná pro všechny zákazníky používající App Service Prostředí, ale je dostupná jenom v integrovaných aplikacích virtuální sítě pro zákazníky využívající veřejnou nabídku s více tenanty.

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: App Service Environment sítě

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

Funkce

Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (není třeba zaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Použití privátních koncových bodů pro azure Web Apps k tomu, aby klienti ve vaší privátní síti mohli bezpečně přistupovat k aplikacím přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě Azure. Síťový provoz mezi klientem ve vaší privátní síti a webovou aplikací prochází přes virtuální síť a Private Link v páteřní síti Microsoftu, čímž se eliminuje expozice z veřejného internetu.

Poznámka: Privátní koncový bod se používá jenom pro příchozí toky do webové aplikace. Odchozí toky nebudou používat tento privátní koncový bod. Odchozí toky můžete do sítě vkládat do jiné podsítě prostřednictvím funkce integrace virtuální sítě. Použití privátních koncových bodů pro služby na přijímajícím konci App Service provozu zabraňuje tomu, aby se stalo SNAT, a poskytuje stabilní odchozí rozsah IP adres.

Další pokyny: Pokud jsou spuštěné kontejnery na App Service, které jsou uložené v Azure Container Registry (ACR), ujistěte se, že se tyto image přetahují přes privátní síť. Uděláte to tak, že nakonfigurujete privátní koncový bod ve službě ACR, který tyto image ukládá ve spojení s nastavením nastavení aplikace "WEBSITE_PULL_IMAGE_OVER_VNET" ve webové aplikaci.

Referenční informace: Použití privátních koncových bodů pro webovou aplikaci Azure

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall) nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Zakažte přístup k veřejné síti pomocí pravidel filtrování ip adres na úrovni služby nebo privátních koncových bodů nebo nastavením publicNetworkAccess vlastnosti, která je v ARM zakázaná.

Referenční informace: Nastavení omezení přístupu Azure App Service

NS-5: Nasazení ochrany DDOS

Další pokyny pro NS-5

Povolte službu DDOS Protection Standard ve virtuální síti hostující Web Application Firewall vašeho App Service. Azure poskytuje ochranu DDoS Basic ve své síti, která se dá vylepšit inteligentními funkcemi DDoS Standard, které se dozví o normálních vzorech provozu a můžou detekovat neobvyklé chování. DDoS Standard se vztahuje na Virtual Network, takže musí být nakonfigurovaný pro síťový prostředek před aplikací, například Application Gateway nebo síťové virtuální zařízení.

NS-6: Nasazení brány firewall webových aplikací

Další pokyny pro NS-6

Vyhněte se obejití WAF pro vaše aplikace. Ujistěte se, že WAF nejde obejít uzamčením přístupu pouze k WAF. Použijte kombinaci omezení přístupu, koncových bodů služeb a privátních koncových bodů.

Kromě toho můžete chránit App Service Environment směrováním provozu přes Web Application Firewall (WAF) s povoleným Azure Application Gateway nebo službou Azure Front Door.

Pro nabídku s více tenanty zabezpečte příchozí provoz do vaší aplikace pomocí následujících možností:

  • Omezení přístupu: řada pravidel povolení nebo zamítnutí, která řídí příchozí přístup
  • Koncové body služby: Může odepřít příchozí provoz mimo zadané virtuální sítě nebo podsítě.
  • Privátní koncové body: Zveřejnění aplikace Virtual Network privátní IP adresou S povolenými privátními koncovými body ve vaší aplikaci už není přístupná k internetu.

Zvažte implementaci Azure Firewall, která centrálně vytváří, vynucuje a protokoluje zásady připojení k aplikacím a sítím napříč předplatnými a virtuálními sítěmi. Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě, která umožňuje externím branám firewall identifikovat provoz pocházející z vaší virtuální sítě.

Správa identit

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD Ověřování vyžadované pro přístup roviny dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: U ověřených webových aplikací používejte k ověřování a autorizaci přístupu uživatelů pouze známé zprostředkovatele identit. V případě, že by vaše aplikace měla být přístupná jenom uživatelům vaší vlastní organizace nebo jinak všichni vaši uživatelé používají Azure Active Directory (Azure AD), nakonfigurujte Azure AD jako výchozí metodu ověřování pro řízení přístupu k rovině dat.

Referenční informace: Ověřování a autorizace v Azure App Service a Azure Functions

Místní metody ověřování pro přístup k rovině dat

Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány, kdykoli je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny k konfiguraci: Omezení použití místních metod ověřování pro přístup k rovině dat Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD).

Referenční informace: Ověřování a autorizace v Azure App Service a Azure Functions

Im-3: Správa identit aplikací bezpečně a automaticky

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, otočené a chráněné platformou, aby se zabránilo pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Běžným scénářem použití spravované identity s App Service je přístup k dalším službám Azure PaaS, jako je Azure SQL Database, Azure Storage nebo Key Vault.

Referenční informace: Jak používat spravované identity pro App Service a Azure Functions

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Další pokyny: I když služba podporuje instanční objekty jako vzor pro ověřování, doporučujeme místo toho používat spravované identity.

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0

Im-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup roviny dat lze řídit pomocí Azure AD zásad podmíněného přístupu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria podmíněného přístupu azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.

Im-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Funkce

Integrace a úložiště přihlašovacích údajů služeb a tajných kódů v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro ukládání přihlašovacích údajů a tajných kódů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje aplikace uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne je vkládat do kódu nebo konfiguračních souborů. Pomocí spravované identity v aplikaci pak získejte přístup k přihlašovacím údajům nebo tajným kódům uloženým v Key Vault zabezpečeným způsobem.

Referenční informace: Použití odkazů Key Vault pro App Service a Azure Functions

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.

PA-7: Postupujte podle zásady pouze dostatečné správy (nejnižší oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox lze použít pro přístup k podpoře Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte žádosti o přístup k datům microsoftu.

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Funkce

Zjišťování a klasifikace citlivých dat

Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Implementace skeneru přihlašovacích údajů v kanálu sestavení k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data

Funkce

Únik dat / prevence ztráty

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Zatímco funkce identifikace, klasifikace a ochrany před únikem informací ještě nejsou pro App Service k dispozici, můžete riziko exfiltrace dat z virtuální sítě snížit odebráním všech pravidel, ve kterých cíl používá značku pro internetové služby nebo služby Azure.

Microsoft spravuje základní infrastrukturu pro App Service a implementoval přísné kontroly, které brání ztrátě nebo vystavení vašich dat.

Pomocí značek můžete sledovat App Service prostředky, které ukládají nebo zpracovávají citlivé informace.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Data v šifrování přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Použijte a vynucujte výchozí minimální verzi protokolu TLS verze 1.2 nakonfigurovanou v nastavení protokolu TLS/SSL pro šifrování všech přenášených informací. Také se ujistěte, že se všechny požadavky na připojení HTTP přesměrují na HTTPS.

Referenční informace: Přidání certifikátu TLS/SSL do Azure App Service

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Protokol FTPS by měl být vyžadován pouze ve vaší aplikaci API. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, zakázáno 2.0.0
Protokol FTPS by se měl vyžadovat jenom v aplikaci funkcí. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, zakázáno 2.0.0
Protokol FTPS by měl být vyžadován ve webové aplikaci. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
V aplikaci funkcí by se měla používat nejnovější verze protokolu TLS. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
Ve webové aplikaci by se měla používat nejnovější verze protokolu TLS. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka se šifruje pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Poznámky k funkcím: Obsah webu v aplikaci App Service, jako jsou například soubory, jsou uloženy ve službě Azure Storage, která automaticky šifruje neaktivní uložený obsah. Zvolte, jestli chcete ukládat tajné kódy aplikací do Key Vault a načíst je za běhu.

Tajné kódy zadané zákazníkem jsou při uložení v konfiguračních databázích App Service šifrované v klidovém stavu.

Všimněte si, že weby místně připojené disky můžou používat jako dočasné úložiště (například D:\local a %TMP%), ale neaktivní neaktivní zašifrované nejsou.

Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.

DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro zákaznický obsah uložený službou. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.

Poznámka: Obsah webu v aplikaci App Service, například soubory, jsou uloženy ve službě Azure Storage, která automaticky šifruje neaktivní uložený obsah. Zvolte, jestli chcete ukládat tajné kódy aplikací do Key Vault a načíst je za běhu.

Tajné kódy zadané zákazníkem jsou při uložení v konfiguračních databázích App Service šifrované v klidovém stavu.

Všimněte si, že weby místně připojené disky můžou používat jako dočasné úložiště (například D:\local a %TMP%), ale neaktivní neaktivní zašifrované nejsou.

Referenční informace: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních hsM do Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.

Referenční informace: Použití odkazů Key Vault pro App Service a Azure Functions

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny certifikáty zákazníků. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: App Service je možné nakonfigurovat s protokolem SSL/TLS a dalšími certifikáty, které je možné konfigurovat přímo na App Service nebo odkazovat z Key Vault. Pokud chcete zajistit centrální správu všech certifikátů a tajných kódů, uložte všechny certifikáty používané App Service ve Key Vault místo jejich místního nasazení přímo na App Service. Po nakonfigurování App Service se automaticky stáhne nejnovější certifikát z Azure Key Vault. Ujistěte se, že generování certifikátů dodržuje definované standardy bez použití nezabezpečených vlastností, jako jsou: nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie. Nastavení automatické obměně certifikátu v Azure Key Vault na základě definovaného plánu nebo vypršení platnosti certifikátu.

Referenční informace: Přidání certifikátu TLS/SSL do Azure App Service

Správa aktiv

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa prostředků.

AM-2: Používejte pouze schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Konfigurace Azure Policy pro auditování a vynucování konfigurací prostředků Azure pomocí Microsoft Defenderu pro cloud Pomocí služby Azure Monitor můžete vytvářet výstrahy v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].

Poznámka: Definujte a implementujte standardní konfigurace zabezpečení pro vaše App Service nasazené aplikace s Azure Policy. Pomocí integrovaných definic Azure Policy a aliasů Azure Policy v oboru názvů Microsoft.Web můžete vytvářet vlastní zásady pro upozorňování, auditování a vynucování konfigurací systému. Vytvořte proces a kanál pro správu výjimek zásad.

Referenční informace: Azure Policy kontrolní mechanismy dodržování právních předpisů pro Azure App Service

AM-4: Omezení přístupu ke správě prostředků

Další pokyny pro AM-4

Izolujte systémy, které zpracovávají citlivé informace. K tomu použijte samostatné plány App Service nebo App Service prostředí a zvažte použití různých předplatných nebo skupin pro správu.

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Použití programu Microsoft Defender pro App Service k identifikaci útoků, které cílí na aplikace spuštěné přes App Service. Když povolíte Program Microsoft Defender pro App Service, můžete okamžitě využít následující služby nabízené tímto plánem Defenderu:

  • Zabezpečení: Defender for App Service posuzuje prostředky, na které se vztahuje váš plán App Service, a na základě svých zjištění generuje doporučení k zabezpečení. Pomocí podrobných pokynů v těchto doporučeních můžete posílit App Service prostředky.

  • Detekce: Defender for App Service detekuje velké množství hrozeb pro vaše App Service prostředky monitorováním instance virtuálního počítače, ve které je spuštěný váš App Service, a rozhraní pro správu, požadavků a odpovědí odesílaných do aplikací App Service, základních sandboxů a virtuálních počítačů a App Service interní protokoly.

Referenční informace: Ochrana webových aplikací a rozhraní API

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Povolte protokoly prostředků pro webové aplikace na App Service.

Referenční informace: Povolení protokolování diagnostiky pro aplikace v Azure App Service

Správa stavu a ohrožení zabezpečení

Další informace najdete v srovnávacím testu zabezpečení Azure: Stav a správa ohrožení zabezpečení.

PV-2: Auditování a vynucení zabezpečených konfigurací

Další pokyny pro PV-2

Vypněte vzdálené ladění, vzdálené ladění nesmí být pro produkční úlohy zapnuté, protože se tím otevřou další porty ve službě, které zvyšují prostor pro útok.

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
CORS by neměl umožňovat přístup ke každé aplikaci API všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace API. Povolte interakci s vaší aplikací API jenom u požadovaných domén. AuditIfNotExists, zakázáno 1.0.0
CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k vašim aplikacím funkcí Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 1.0.0
Sdílení CORS by nemělo umožňovat přístup k webovým aplikacím všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší webové aplikace. Povolte interakci s vaší webovou aplikací jenom požadovanými doménami. AuditIfNotExists, zakázáno 1.0.0
Ujistěte se, že aplikace API má nastavenou hodnotu Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Ujistěte se, že je u webové aplikace nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) nastavená na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti s platnými certifikáty. Audit, zakázáno 1.0.1
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být vypnuté pro aplikace funkcí. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0

PV-7: Provádění pravidelných červených operací týmu

Další pokyny pro PV-7

Proveďte pravidelné penetrační testy na webových aplikacích podle pravidel penetračního testování zapojení.

Backup a obnovení

Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Pokud je to možné, implementujte bezstavový návrh aplikace, který zjednodušuje scénáře obnovení a zálohování pomocí App Service.

Pokud opravdu potřebujete udržovat stavovou aplikaci, povolte funkci Zálohování a obnovení v App Service, která umožňuje snadno vytvářet zálohy aplikací ručně nebo podle plánu. Zálohy můžete nakonfigurovat tak, aby se zachovaly až po neomezenou dobu. Aplikaci můžete obnovit na snímek předchozího stavu přepsáním existující aplikace nebo obnovením do jiné aplikace. Ujistěte se, že pravidelné a automatizované zálohování probíhají s frekvencí definovanou zásadami vaší organizace.

Poznámka: App Service můžete zálohovat následující informace do účtu úložiště Azure a kontejneru, který jste nakonfigurovali pro použití aplikace:

  • Konfigurace aplikací
  • Obsah souboru
  • Databáze připojená k aplikaci

Referenční informace: Zálohování aplikace v Azure

Funkce nativního zálohování služby

Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Zabezpečení DevOps

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení DevOps.

DS-6: Vynucování zabezpečení úloh v průběhu životního cyklu DevOps

Další pokyny pro DS-6

Nasaďte kód do App Service z řízeného a důvěryhodného prostředí, jako je dobře spravovaný a zabezpečený kanál nasazení DevOps. Tím se zabrání kódu, který nebyl řízen verzí a ověřen, aby byl nasazený ze škodlivého hostitele.

Další kroky