Standardní hodnoty zabezpečení Azure pro Azure Spring Apps

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 na Azure Spring Apps. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Spring Apps.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují na Azure Spring Apps, byly vyloučeny. Pokud chcete zjistit, jak azure Spring Apps kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Spring Apps.

Profil zabezpečení

Profil zabezpečení shrnuje chování Azure Spring Apps s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Kontejnery, web
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ano
Ukládá neaktivní uložený obsah zákazníka. Ano

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasazení azure Spring Apps do vlastní virtuální sítě během zřizování instance služby Pak se aplikace a modul runtime služeb v Azure Spring Apps oddělí od veřejného internetu.

Referenční informace: Nasazení azure Spring Apps ve virtuální síti

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidel skupin zabezpečení sítě v jejích podsítích. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí).

Mějte na paměti, že pro úlohy údržby musí být k dispozici několik portů a adres. Projděte si prosím referenční informace.

Referenční informace: Požadavky na síť Azure Spring Apps

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

Funkce

Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.AppPlatform:

Name
(Azure Portal)
Popis Efekty Verze
(GitHub)
Azure Spring Cloud by měl používat injektáž sítě Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. Audit, Zakázáno, Odepřít 1.1.0

Správa identit

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD ověření vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.

Referenční informace: Přístup k konfiguračnímu serveru a registru služeb

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, otočené a chráněné platformou, aby se zabránilo pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Referenční informace: Použití spravovaných identit pro aplikace v Azure Spring Cloudu

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Referenční informace: Přístup k konfiguračnímu serveru a registru služeb

IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Funkce

Integrace přihlašovacích údajů a tajných kódů služeb a úložiště v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: V rovině dat Azure Spring Cloudu jsou dvě části – zákaznické aplikace a spravované komponenty. U zákaznických aplikací můžou ke Key Vault přistupovat pomocí spravované identity. U spravovaných komponent se integrace Key Vault zatím nepodporuje.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.

PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů

Funkce

Místní účty Správa

Popis: Služba má koncept účtu místního správce. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

PA-7: Postupujte podle zásady správy (nejnižších oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Použití řízení přístupu na základě role (Azure RBAC) Azure ke správě přístupu k integrovanému Spring Cloud Config Serveru a registru spring cloudových služeb v Azure Spring Apps Definice předdefinované role a pokyny jsou vysvětleny v následujícím dokumentu.

Referenční informace: Přístup k konfiguračnímu serveru a registru služeb

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox lze použít pro přístup k podpoře Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ve scénářích podpory, kde Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.

Referenční informace: Ovládací prvky zabezpečení pro službu Azure Spring Cloud

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.

DP-2: Monitorování anomálií a hrozeb zaměřených na citlivá data

Funkce

Únik dat / ochrana před únikem informací

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Data v šifrování přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Kontrolní prvky zabezpečení pro službu Azure Spring Cloud

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Kontrolní prvky zabezpečení pro službu Azure Spring Cloud

DP-5: Použití možnosti klíče spravovaného zákazníkem v neaktivních uložených datech v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníků uložený službou. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Mají závislost na podpoře AKS CMK Hobo. Byla požadována výjimka a schválena k prodloužení termínu splnění podpory CMK v Azure Spring Cloudu.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny certifikáty zákazníků. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Při povolování vlastních domén pro aplikace v Azure Spring Apps může zákazník ukládat certifikáty v Azure Key Vault a importovat je do Azure Spring Apps, aby vynucuje šifrování TLS (Transport Layer Security) u příchozího provozu. Podrobné pokyny najdete v referenčních informacích.

Referenční informace: Kurz: Mapování existující vlastní domény na Azure Spring Cloud

Správa aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa prostředků.

AM-2: Použití pouze schválených služeb

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Povolení různých typů protokolů prostředků v Azure Spring Apps, včetně protokolů konzoly zákaznických aplikací, protokolů spravovaných komponent, protokolů příchozího přenosu dat a protokolů úloh sestavení

Podrobnosti najdete v referenčních informacích.

Referenční informace: Analýza protokolů a metrik pomocí nastavení diagnostiky

Backup a obnovení

Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Další kroky