Standardní hodnoty zabezpečení Azure pro Azure Functions

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Functions. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Functions.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Kontrolní mechanismy se nevztahují na Azure Functions a ty, pro které se doporučuje doslovné doslovné doporučení globálních pokynů, byly vyloučeny. Pokud chcete zjistit, jak Azure Functions úplně mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Functions.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování Azure Functions prostředků vytvořte nebo použijte existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který je v souladu s obchodními riziky. Jakýkoli systém, který může mít vyšší riziko pro organizaci, by měl být izolovaný ve své vlastní virtuální síti a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Pomocí programu Microsoft Defender for Cloud Adaptivní posílení zabezpečení sítě doporučte konfigurace skupin zabezpečení sítě, které omezují porty a zdrojové IP adresy na základě odkazu na pravidla externího síťového provozu.

Azure Functions má dva primární způsoby nasazení prostředků v kontextu sítě. Aplikaci funkcí je možné vytvořit v plánu Elastic Premium s koncovými body služby nebo privátními koncovými body pro příchozí požadavky integrace virtuální sítě s vynuceným tunelováním pro odchozí požadavky. Aplikace funkcí může být také zcela nasazena ve virtuální síti spuštěním v App Service Environment. Při práci v těchto režimech je potřeba nastavit pravidla sítě a omezení pro závislosti, jako je účet úložiště používaný službou Functions, a také pro všechny události nebo zdroje dat.

Pomocí služby Microsoft Sentinel můžete zjistit použití starších nezabezpečených protokolů, jako jsou SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds a slabé šifry v protokolu Kerberos.

Aplikace funkcí se ve výchozím nastavení vytvářejí tak, aby podporovaly protokol TLS 1.2 jako minimální verzi, ale aplikaci je možné nakonfigurovat s nižší verzí prostřednictvím nastavení konfigurace. Protokol HTTPS není ve výchozím nastavení vyžadován příchozími požadavky, ale dá se nastavit také prostřednictvím konfiguračního nastavení. V takovém okamžiku se každý požadavek HTTP automaticky přesměruje na použití PROTOKOLU HTTPS.

Některé zdroje událostí spotřebované aplikací můžou vyžadovat otevření dalších portů do nebo ze sítě, ale ve výchozím případě to není nutné.

Aplikace funkcí je možné nakonfigurovat s omezeními IP adres pro příchozí požadavky. Jsou nastavené prostřednictvím seznamu priorit pravidel Povolit nebo Odepřít přes bloky IP adres, podsítě virtuální sítě nebo značky služeb.

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí Připojení ExpressRoute neprobíhají přes veřejný internet a nabízí větší spolehlivost, vyšší rychlost a nižší latenci než typická internetová připojení. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Pomocí Azure Private Link povolte privátní přístup k Azure Functions z vašich virtuálních sítí bez přechodu na internet.

Privátní přístup je další hloubková ochrana ověřování a zabezpečení provozu nabízené službami Azure.

Při vytváření příchozího připojení privátního koncového bodu pro funkce budete také potřebovat záznam DNS k překladu privátní adresy. Ve výchozím nastavení se pro vás při vytváření privátního koncového bodu pomocí Azure Portal vytvoří privátní záznam DNS.

Pokud nejde použít privátní koncové body, použijte koncové body služby Azure Virtual Network k zajištění zabezpečeného přístupu k Azure Functions prostřednictvím optimalizované trasy přes páteřní síť Azure bez přechodu na internet. Koncové body služby je možné povolit na úrovni aplikace i podsítě pro Azure Functions.

Koncové body služby nemůžete použít k omezení přístupu k aplikacím, které běží v App Service Environment. Když je vaše aplikace v App Service Environment, můžete k ní přistupovat pomocí pravidel přístupu k IP adresě.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Chraňte své Azure Functions prostředky před útoky před externími sítěmi, včetně útoků DDoS (Distributed Denial of Service), útoků specifických pro aplikace a nevyžádaných a potenciálně škodlivých internetových přenosů. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte své prostředky před útoky DDoS povolením standardní ochrany před útoky DDoS ve virtuálních sítích Azure. Využijte Microsoft Defender for Cloud k detekci chybná rizika konfigurace pro prostředky související se sítí.

Pomocí funkcí Web Application Firewall (WAF) v Azure Application Gateway, Azure Front Dooru a Azure Content Delivery Network (CDN) můžete chránit aplikace běžící na Azure Functions před útoky aplikační vrstvy.

Zavedení Web Application Firewall vyžaduje App Service Environment nebo použití privátních koncových bodů.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro vaše prostředky Azure Functions. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro odpovídající službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Značka služby AppService shrnuje rozsahy IP adres pro službu a dá se použít v odchozích pravidlech.

Značka služby AppServiceManagement shrnuje provoz správy pro nasazení vyhrazená pro App Service Environment.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Doprovodné materiály: Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste zmírnit běžné útoky, jako jsou propadnutí DNS, útoky na amplifikace DNS, otrava DNS a falšování identity atd.

Pokud se Azure DNS používá jako autoritativní služba DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure RBAC a zámků prostředků.

Pokud je aplikace funkcí spuštěná v App Service Environment a virtuální síť je nakonfigurovaná na serveru DNS vybraném zákazníkem, úlohy aplikace funkcí ji používají. Server DNS musí být dostupný z podsítě, která obsahuje App Service Environment. Samotné prostředí stále používá Azure DNS pro účely správy.

Odpovědnost: Sdílené

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Functions používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Azure Virtual Machine (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.
  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být v praxi cloudového zabezpečení vaší organizace vysokou prioritou. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí své externí identity.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Functions používá identity spravované v Azure pro účty, jako jsou služby nebo automatizace, a doporučuje se místo vytvoření výkonnějšího lidského účtu pro přístup k prostředkům nebo spuštění prostředků použít funkci identity spravovanou v Azure. Azure Functions se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD prostřednictvím předdefinovaného pravidla udělení přístupu bez použití přihlašovacích údajů pevně zakódovaných ve zdrojovém kódu nebo konfiguračních souborech.

Azure Functions podporuje spravované identity přiřazené systémem a přiřazené uživatelem. Spravované identity můžou využívat kód nasazený zákazníkem pro vyžádání tokenů do jiných prostředků. Identity se můžou použít také pro funkce služeb, jako je překlad tajných kódů z trezoru klíčů nebo vyžádání imagí z registru kontejneru.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Functions používá Azure Active Directory k poskytování správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. To zahrnuje podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé. To umožňuje jednotné přihlašování (SSO) spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

IM-5: Monitorování a upozornění na anomálie účtů

Pokyny: Azure Functions je integrovaná se službou Azure Active Directory, která poskytuje následující zdroje dat:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny všech prostředků v rámci Azure AD, jako je přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Tyto zdroje dat je možné integrovat se systémy SIEM nebo Azure Monitor, Microsoft Sentinel nebo třetích stran.

Microsoft Defender for Cloud vás také může upozornit na určité podezřelé aktivity, například nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném.

Rozšířená ochrana před internetovými útoky (ATP) v Azure je řešení zabezpečení, které dokáže na základě signálů Active Directory identifikovat, detekovat a vyšetřovat pokročilé hrozby, ohrožené identity a škodlivé činnosti vnitřních účastníků.

Některé operace vystavené modulem runtime aplikace mohou být provedeny pomocí klíče pro správu. Tento klíč je možné uložit v Azure Key Vault a kdykoli ho můžete znovu vygenerovat.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Functions umožňuje zákazníkům nasadit nebo spustit kód, konfigurace nebo uchovávat data potenciálně s identitami nebo tajnými kódy. Doporučuje se implementovat skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu, konfiguracích nebo trvalých datech. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce pro kontrolu tajných kódů identifikovat přihlašovací údaje nebo jiné formy tajných kódů v kódu.

Azure Functions má integrovanou funkci pro odkazování na tajné kódy z Key Vault bez nutnosti změn kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Vytvoření standardních operačních postupů pro použití vyhrazených účtů pro správu

Některé operace správy aplikace je možné provést pomocí klíče pro správu. To by se mělo spravovat v zabezpečeném úložišti, jako je Azure Key Vault.

Odpovědnost: Zákazník

PA-2: Omezení přístupu pro správu k nejdůležitějším podnikovým systémům

Pokyny: Azure Functions používá řízení přístupu na základě role Azure (Azure RBAC) k izolaci přístupu k systémům pro důležité obchodní informace tím, že omezíte, které účty mají udělený privilegovaný přístup k předplatným a skupinám pro správu, ve kterých jsou.

Ujistěte se také, že omezíte přístup k systémům správy, identit a zabezpečení, které mají přístup správce k vašim podnikovým kritickým řízením přístupu, jako jsou řadiče Doména služby Active Directory kontrolery (ŘADIČE domény), nástroje zabezpečení a nástroje pro správu systému s agenty nainstalovanými v důležitých obchodních systémech. Útočníci, kteří tyto systémy správy a zabezpečení ohrozit, můžou okamžitě zneškodnit důležité obchodní prostředky.

Všechny typy řízení přístupu by měly být sladěny se strategií segmentace podniku, aby se zajistilo konzistentní řízení přístupu.

Účty s oprávněními k nasazení pro aplikaci funkcí mají přístup k ladění, a proto mají přístup k jakýmkoli systémům nebo datům, se kterými pracuje. Toto oprávnění vyplývá z rolí Přispěvatel a Vlastník.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Functions používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, kontrole uživatelských účtů a přiřazování přístupu pravidelně, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontrol přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestav kontroly přístupu, abyste usnadnili proces kontroly.

Kromě toho je možné Azure AD PIM nakonfigurovat tak, aby vás upozorňovalo na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou velmi důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune. Zabezpečené pracovní stanice je možné centrálně spravovat za účelem vynucení zabezpečené konfigurace, včetně silného ověřování, standardních hodnot softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Functions je integrován s řízením přístupu na základě role Azure (Azure RBAC) ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky existují předem definované předdefinované role a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. Tento postup doplňuje přístup Azure AD Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.

Některé operace jsou vystaveny aplikací, která může být řízena pomocí klíče pro správu. Řízení přístupu k tomuto klíči pomocí Azure Key Vault

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k zákaznickým datům, Azure Functions podporuje Customer Lockbox, aby vám poskytlo rozhraní pro kontrolu a schválení nebo odmítnutí žádostí o přístup k datům zákazníků.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí řízení přístupu na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování).

Aby bylo zajištěno konzistentní řízení přístupu, měly by být všechny typy řízení přístupu v souladu se strategií segmentace podniku. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro podkladovou platformu (spravovanou Microsoftem) Microsoft považuje veškerý obsah zákazníků za citlivý a chrání před ztrátou a expozicí zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Odpovědnost: Zákazník

DP-3: Monitorování neautorizovaného přenosu citlivých dat

Pokyny: Monitorujte neautorizovaný přenos dat do umístění mimo dohled a kontrolu podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat. Povolte Microsoft Defender pro App Service, aby vám pomohl upozornit na neobvyklou aktivitu související s vaším Azure Functions.

Azure Information Protection (AIP) poskytuje možnosti monitorování informací, které byly klasifikovány a označeny.

Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, měla by být přenášená data chráněná před útoky mimo pásma (jako je zachycení provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.

Azure Functions podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo novějšího.

I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že se klienti připojující k prostředkům Azure můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zastaralé protokoly SSL, TLS, verze ASH a slabé šifry by měly být zakázané.

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Nastavení konfigurace je k dispozici pro použití starší verze protokolu TLS v případě potřeby, ale ve výchozím nastavení je minimální verze protokolu TLS 1.2.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Protokol FTPS by se měl vyžadovat jenom v aplikaci API. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, Zakázáno 2.0.0
Protokol FTPS by se měl vyžadovat jenom ve vaší aplikaci funkcí. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, Zakázáno 2.0.0
Ve webové aplikaci by měl být vyžadován protokol FTPS. Povolení vynucení FTPS pro rozšířené zabezpečení AuditIfNotExists, Zakázáno 2.0.0
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci funkcí. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve webové aplikaci. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Azure Functions zašifruje neaktivní uložená data, aby se chránila před útoky mimo pásma (jako je přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst nebo upravovat.

Účet úložiště používaný Azure Functions může být nakonfigurovaný s dalšími možnostmi šifrování.

Tajné kódy používané pro konfiguraci aplikace je možné uložit v Azure Key Vault pro další možnosti šifrování.

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmům zabezpečení jsou udělena oprávnění čtenáře zabezpečení v tenantovi Azure a předplatných, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního bezpečnostního týmu nebo místního týmu v závislosti na struktuře bezpečnostních povinností. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Použití Azure Policy k auditování a omezení služeb, které uživatelé můžou ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Omezení oprávnění k nasazení a použití systému CI/CD k nasazení kódu do aplikací funkcí

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Využijte integrované funkce detekce hrozeb v programu Microsoft Defender pro cloud a povolte Microsoft Defender pro vaše Azure Functions prostředky. Microsoft Defender for Azure Functions poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům Azure Functions nebo jejich zneužití.

Přeposílejte všechny protokoly z Azure Functions na siEM, které je možné použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních výstrah, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojem dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které se dají zobrazit v Azure AD generování sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování SIEM pro sofistikovanější případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny provedené u všech prostředků v rámci Azure AD, jako je přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také aktivovat upozornění na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datové prostředky (SQL DB a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě, protokoly toku NSG, protokoly toku Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivního vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru Služby Log Analytics služby Azure Monitor a pak použít Traffic Analytics k poskytování přehledů.

Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou při korelaci jiných síťových dat. Implementujte řešení třetích stran z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.

Aplikace funkcí nakonfigurované pomocí Application Insights nebo Log Analytics budou moct zobrazit prostředky, se kterými se aplikace pokouší pracovat.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro vaše Azure Functions prostředky kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro Azure Functions. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Diagnostické protokoly ve službě App Services by měly být povolené. Audit povolení diagnostických protokolů v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely šetření, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.0

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Microsoft Sentinelu nebo siEM jiného výrobce.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Pro aplikace, které můžou běžet na Azure Functions, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů Azure Functions mají nastavené období uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Functions nepodporuje konfiguraci vlastních zdrojů synchronizace času.

Azure Functions služba spoléhá na zdroje synchronizace času Microsoftu a není vystavena zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků Azure RBAC a zásad v jedné definici podrobného plánu.

Microsoft Defender pro App Service podporuje všechny plány Azure Functions kromě plánu Consumption.

Některá nastavení zabezpečení v Azure Functions existují jako součást podřízených konfiguračních prostředků v Azure Resource Manager a nejsou řízena Azure Policy použitými pro aplikace funkcí.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defenderu pro cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.

Microsoft Defender pro App Service podporuje všechny plány Azure Functions kromě plánu Consumption.

Některá nastavení zabezpečení v Azure Functions existují jako součást podřízených konfiguračních prostředků v Azure Resource Manager a nejsou řízena Azure Policy použitými pro aplikace funkcí.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
CORS by neměl umožňovat přístup ke každé aplikaci API všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace API. Povolte interakci s vaší aplikací API jenom u požadovaných domén. AuditIfNotExists, zakázáno 1.0.0
CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k vašim aplikacím funkcí Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 1.0.0
Sdílení CORS by nemělo umožňovat přístup k webovým aplikacím všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší webové aplikace. Povolte interakci s vaší webovou aplikací jenom požadovanými doménami. AuditIfNotExists, zakázáno 1.0.0
Ujistěte se, že aplikace API má nastavené klientské certifikáty (příchozí klientské certifikáty) na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Ujistěte se, že je u webové aplikace nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti s platnými certifikáty. Audit, zakázáno 1.0.1
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro aplikace funkcí vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k pravidelnému posouzení a nápravě rizik konfigurace u výpočetních prostředků Azure, jako jsou virtuální počítače, kontejnery a další. Kromě toho můžete pomocí šablon Azure Resource Manager, vlastních imagí operačního systému nebo Azure Automation State Configuration udržovat konfiguraci zabezpečení operačního systému vyžadovaného vaší organizací. K zobrazení doporučení a nápravě problémů použijte stránku doporučení v programu Microsoft Defender pro cloud.

Odpovědnost: Sdílené

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Azure Functions umožňuje zákazníkům spravovat všechny image kontejnerů, které používají se službou. Pomocí řízení přístupu na základě role v Azure (RBAC) se ujistěte, že k vašim vlastním imagím mají přístup jenom autorizovaní uživatelé. Ukládejte image kontejnerů v Azure Container Registry a pomocí Azure RBAC zajistěte, aby k nim měli přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Azure Functions umožňuje spouštění kontejnerů nasazených prostřednictvím registrů kontejnerů.

Pokud chcete provádět posouzení ohrožení zabezpečení na imagích kontejnerů Azure, postupujte podle doporučení z Microsoft Defenderu pro cloud. Microsoft Defender for Cloud má integrovaný skener ohrožení zabezpečení pro image kontejnerů.

Podle potřeby exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití doporučení pro správu ohrožení zabezpečení, která navrhuje Microsoft Defender pro cloud, můžete přejít na portál vybraného řešení a zobrazit historická data kontroly.

Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Functions.

Odpovědnost: Sdílené

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Stanovení priority pomocí společného programu pro vyhodnocování rizik (například Common Vulnerability Scoring System) nebo výchozího hodnocení rizik poskytovaného nástrojem pro kontrolu třetí strany a pak přizpůsobit prostředí pomocí kontextu, pro který aplikace představují vysoké bezpečnostní riziko a které vyžadují vysokou dobu provozu.

Azure Functions umožňuje uživatelům nasazovat aplikace prostřednictvím vlastních imagí nasazených prostřednictvím registrů kontejnerů ve svém prostředí.

Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo system Center Aktualizace Publisher pro Configuration Manager.

Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo system Center Aktualizace Publisher pro Configuration Manager.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Web:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace API. Novější verze se pravidelně vydávají pro Javu buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využít opravy zabezpečení, pokud existují nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, Zakázáno 2.0.0
Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace Funkcí. Novější verze se pravidelně vydávají pro software v Javě buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Java pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, Zakázáno 2.0.0
Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást webové aplikace. Novější verze se pravidelně vydávají pro software v Javě buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Java pro webové aplikace, doporučujeme využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, Zakázáno 2.0.0
Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást aplikace API. Novější verze se pravidelně vydávají pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace API se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, Zakázáno 2.1.0
Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást webové aplikace. Novější verze se pravidelně vydávají pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro webové aplikace se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, zakázáno 2.1.0
Ujistěte se, že je nejnovější verze Pythonu, pokud se používá jako součást aplikace API. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, zakázáno 3.0.0
Ujistěte se, že je nejnovější verze Pythonu, pokud se používá jako součást aplikace funkcí. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, zakázáno 3.0.0
Ujistěte se, že je nejnovější verze Pythonu, pokud se používá jako součást webové aplikace. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro webové aplikace se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na webové aplikace pro Linux. AuditIfNotExists, zakázáno 3.0.0

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení.

Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Microsoft spravuje základní součásti platformy Azure Functions. Azure Functions průběžně prochází kontrolami dodržování předpisů, aby se zajistilo, že 24hodinová správa hrozeb chrání infrastrukturu a platformu před malwarem, distribuovaným útokem do služby (DDoS), man-in-the-middle (MITM) a dalšími hrozbami. Na podkladovém hostiteli, který podporuje služby Azure (například Azure Functions), je povolený antimalwarový program Microsoftu. Na vašem obsahu se ale nespustí.

Odpovědnost: Microsoft

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Azure Functions udržuje a spouští antimalwarový program pro systémové prostředky a modul runtime. U vlastních imagí kontejnerů nebo úložiště, které vaše aplikace využívá, byste měli zvážit využití centrálně spravovaného moderního antimalwarového řešení.

Odpovědnost: Sdílené

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Microsoft spravuje základní součásti platformy Azure Functions. Azure Functions průběžně prochází kontrolami dodržování předpisů, aby se zajistilo, že 24hodinová správa hrozeb chrání infrastrukturu a platformu před malwarem, distribuovaným útokem do služby (DDoS), man-in-the-middle (MITM) a dalšími hrozbami. Na podkladovém hostiteli, který podporuje služby Azure (například Azure Functions), je povolený antimalwarový program Microsoftu. Na vašem obsahu se ale nespustí.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte zavedená opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Zákazník

Další kroky