Base de référence de sécurité Azure pour App Service
Cette base de référence de sécurité applique les instructions du benchmark de sécurité cloud Microsoft version 1.0 à App Service. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à App Service.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Notes
Les fonctionnalités non applicables à App Service ont été exclues. Pour voir comment App Service correspond entièrement au benchmark de sécurité cloud Microsoft, consultez le fichier complet de mappage de la base de référence de sécurité App Service.
Profil de sécurité
Le profil de sécurité résume les comportements à impact élevé des App Service, ce qui peut entraîner des considérations de sécurité accrues.
| Attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Calcul, Web |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | True |
| Stocke le contenu client au repos | True |
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.
NS-1 : Établir des limites de segmentation réseau
Fonctionnalités
Intégration du réseau virtuel
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques sur les fonctionnalités : Réseau virtuel’intégration est configurée par défaut lors de l’utilisation des environnements App Service, mais doit être configurée manuellement lors de l’utilisation de l’offre multilocataire publique.
Conseils de configuration : Garantir une adresse IP stable pour les communications sortantes vers les adresses Internet : vous pouvez fournir une adresse IP sortante stable à l’aide de la fonctionnalité d’intégration Réseau virtuel. Cela permet à la partie destinataire de liste d’autorisation basée sur l’adresse IP, le cas échéant.
Lorsque vous utilisez App Service dans le niveau tarifaire Isolé, également appelé App Service Environment (ASE), vous pouvez déployer directement dans un sous-réseau au sein de votre Réseau virtuel Azure. Utilisez des groupes de sécurité réseau pour sécuriser votre instance Azure App Service Environment en bloquant le trafic entrant et sortant vers les ressources de votre réseau virtuel ou pour restreindre l’accès aux applications dans une instance App Service Environment.
Dans le App Service multilocataire (une application qui n’est pas au niveau isolé), autorisez vos applications à accéder aux ressources dans ou via un Réseau virtuel avec la fonctionnalité d’intégration Réseau virtuel. Vous pouvez ensuite utiliser des groupes de sécurité réseau pour contrôler le trafic sortant à partir de votre application. Lorsque vous utilisez Réseau virtuel Integration, vous pouvez activer la configuration « Acheminer tout » pour soumettre tout le trafic sortant aux groupes de sécurité réseau et aux itinéraires définis par l’utilisateur sur le sous-réseau d’intégration. Cette fonctionnalité peut également être utilisée pour bloquer le trafic sortant de l’application vers des adresses publiques. La fonctionnalité Intégration du réseau virtuel ne peut pas être utilisée pour fournir un accès entrant à une application.
Pour les communications vers les services Azure, il n’est souvent pas nécessaire de dépendre de l’adresse IP et des mécanismes tels que les points de terminaison de service doivent être utilisés à la place.
Remarque : Pour les environnements App Service, par défaut, les groupes de sécurité réseau incluent une règle de refus implicite à la priorité la plus basse et vous oblige à ajouter des règles d’autorisation explicites. Ajoutez des règles d’autorisation pour votre groupe de sécurité réseau selon une approche de mise en réseau du moindre privilège. Les machines virtuelles sous-jacentes utilisées pour héberger l’instance App Service Environment ne sont pas directement accessibles, car elles se trouvent dans un abonnement géré par Microsoft.
Lorsque vous utilisez la fonctionnalité Intégration du réseau virtuel avec des réseaux virtuels dans la même région, utilisez des groupes de sécurité réseau et des tables de routage avec des itinéraires définis par l’utilisateur. Les itinéraires définis par l’utilisateur peuvent être placés sur le sous-réseau d’intégration pour envoyer le trafic sortant comme prévu.
Référence : Intégrer votre application à un réseau virtuel Azure
Prise en charge des groupes de sécurité réseau
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques de fonctionnalité : La prise en charge du groupe de sécurité réseau est disponible pour tous les clients qui utilisent des environnements App Service, mais n’est disponible que sur les applications intégrées au réseau virtuel pour les clients qui utilisent l’offre mutualisée publique.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : mise en réseau App Service Environment
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : Fonctionnalité de filtrage IP native de service pour filtrer le trafic réseau (à ne pas confondre avec NSG ou Pare-feu Azure). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez des points de terminaison privés pour votre Web Apps Azure afin de permettre aux clients situés dans votre réseau privé d’accéder en toute sécurité aux applications via Private Link. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage de votre réseau virtuel Azure. Le trafic entre un client de votre réseau privé et l’application web traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine son exposition à l’Internet public.
Remarque : Le point de terminaison privé est utilisé uniquement pour les flux entrants vers votre application web. Les flux sortants n’utilisent pas ce point de terminaison privé. Vous pouvez injecter des flux sortants de votre réseau dans un sous-réseau différent via la fonctionnalité d’intégration au réseau virtuel. L’utilisation de points de terminaison privés pour les services à l’extrémité de réception du trafic App Service permet d’éviter le trafic SNAT et fournit une plage d’adresses IP sortantes stable.
Conseils supplémentaires : Si vous exécutez des conteneurs sur App Service qui sont stockés dans Azure Container Registry (ACR), assurez-vous que ces images sont extraites sur un réseau privé. Pour ce faire, configurez un point de terminaison privé sur l’ACR en stockant ces images conjointement avec le paramètre d’application « WEBSITE_PULL_IMAGE_OVER_VNET » sur votre application web.
Référence : Utilisation de points de terminaison privés pour Azure Web App
Désactiver l’accès public au réseau
Description : Le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage ACL IP de niveau de service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Désactivez l’accès réseau public' à l’aide de règles de filtrage aCL IP de niveau de service ou de points de terminaison privés ou en définissant la publicNetworkAccess propriété sur désactivée dans ARM.
Référence : Configurer les restrictions d’accès Azure App Service
NS-5 : Déployer la protection DDOS
Autres conseils pour NS-5
Activez DDOS Protection Standard sur le réseau virtuel hébergeant le pare-feu d’applications web de votre App Service. Azure fournit une protection DDoS De base sur son réseau, qui peut être améliorée avec des fonctionnalités DDoS Standard intelligentes qui apprennent les modèles de trafic normaux et peuvent détecter des comportements inhabituels. DDoS Standard s’applique à un Réseau virtuel il doit donc être configuré pour la ressource réseau devant l’application, comme Application Gateway ou une appliance virtuelle réseau.
NS-6 : Déployer le pare-feu d’applications web
Autres conseils pour NS-6
Évitez de contourner le WAF pour vos applications. Assurez-vous que le WAF ne peut pas être contourné en verrouillant l’accès uniquement au WAF. Utilisez une combinaison de restrictions d’accès, de points de terminaison de service et de points de terminaison privés.
En outre, protégez un App Service Environment en acheminant le trafic via un Web Application Firewall (WAF) activé Azure Application Gateway ou Azure Front Door.
Pour l’offre mutualisée, sécurisez le trafic entrant vers votre application avec :
- Restrictions d’accès : série de règles d’autorisation ou de refus qui contrôlent l’accès entrant
- Points de terminaison de service : peuvent refuser le trafic entrant provenant de l’extérieur des réseaux virtuels ou sous-réseaux spécifiés
- Points de terminaison privés : exposez votre application à votre Réseau virtuel avec une adresse IP privée. Lorsque les points de terminaison privés sont activés sur votre application, celle-ci n’est plus accessible sur Internet.
Envisagez d’implémenter un pare-feu Azure pour créer, appliquer et consigner de manière centralisée des stratégies de connectivité réseau et d’application dans vos abonnements et réseaux virtuels. Pare-feu Azure utilise une IP publique statique pour vos ressources de réseau virtuel, ce qui permet aux pare-feu extérieurs d’identifier le trafic qui provient de votre réseau virtuel.
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Azure AD Authentication requis pour l’accès au plan de données
Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Pour les applications web authentifiées, utilisez uniquement des fournisseurs d’identité bien connus pour authentifier et autoriser l’accès utilisateur. Dans le cas où votre application ne doit être accessible qu’aux utilisateurs de votre propre organization, ou si vos utilisateurs utilisent tous Azure Active Directory (Azure AD), configurez Azure AD comme méthode d’authentification par défaut pour contrôler votre accès au plan de données.
Référence : Authentification et autorisation dans Azure App Service et Azure Functions
Méthodes d’authentification locales pour l’accès au plan de données
Description : méthodes d’authentification locale prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques de fonctionnalité : Évitez l’utilisation de méthodes ou de comptes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier si possible.
Conseils de configuration : Limitez l’utilisation des méthodes d’authentification locales pour l’accès au plan de données. Au lieu de cela, utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données.
Référence : Authentification et autorisation dans Azure App Service et Azure Functions
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions de plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, ce qui peut s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.
Un scénario courant d’utilisation d’une identité managée avec App Service consiste à accéder à d’autres services PaaS Azure tels que Azure SQL Database, Stockage Azure ou Key Vault.
Référence : Utilisation des identités managées pour les App Service et les Azure Functions
Principaux de service
Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils supplémentaires : Bien que les principaux de service soient pris en charge par le service en tant que modèle d’authentification, nous vous recommandons d’utiliser des identités managées dans la mesure du possible.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Web :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
IM-7 : restreindre l’accès aux ressources en fonction des conditions
Fonctionnalités
Accès conditionnel pour le plan de données
Description : L’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Définissez les conditions et les critères applicables pour l’accès conditionnel Azure Active Directory (Azure AD) dans la charge de travail. Considérez des cas d’usage courants tels que le blocage ou l’octroi de l’accès à partir d’emplacements spécifiques, le blocage du comportement de connexion à risque ou l’exigence d’appareils gérés organization pour des applications spécifiques.
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Assurez-vous que les secrets et les informations d’identification d’application sont stockés dans des emplacements sécurisés tels que Azure Key Vault, au lieu de les incorporer dans des fichiers de code ou de configuration. Utilisez une identité managée sur votre application pour accéder aux informations d’identification ou aux secrets stockés dans Key Vault de manière sécurisée.
Référence : utiliser des références Key Vault pour App Service et Azure Functions
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
Fonctionnalités
RBAC Azure pour le plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions de plan de données du service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
Fonctionnalités
Customer Lockbox
Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Remarques de fonctionnalité : Implémentez le scanneur d’informations d’identification dans votre pipeline de build pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Protection contre les fuites/pertes de données
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Remarques sur les fonctionnalités : Bien que les fonctionnalités d’identification, de classification et de prévention des pertes ne soient pas encore disponibles pour App Service, vous pouvez réduire le risque d’exfiltration des données du réseau virtuel en supprimant toutes les règles où la destination utilise une « balise » pour les services Internet ou Azure.
Microsoft gère l’infrastructure sous-jacente d’App Service et a implémenté des contrôles stricts pour empêcher la perte ou l’exposition de vos données.
Utilisez des étiquettes pour faciliter le suivi App Service ressources qui stockent ou traitent des informations sensibles.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez et appliquez la version minimale par défaut de TLS v1.2, configurée dans les paramètres TLS/SSL, pour chiffrer toutes les informations en transit. Assurez-vous également que toutes les demandes de connexion HTTP sont redirigées vers le protocole HTTPS.
Référence : Ajouter un certificat TLS/SSL dans Azure App Service
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Web :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques sur les fonctionnalités : le contenu d’un site web dans une application App Service, tel que des fichiers, est stocké dans stockage Azure, qui chiffre automatiquement le contenu au repos. Choisissez de stocker les secrets d’application dans Key Vault et de les récupérer au moment de l’exécution.
Les secrets fournis par le client sont chiffrés au repos lorsqu’ils sont stockés dans des bases de données de configuration d’App Service.
Notez que bien que les disques attachés localement puissent éventuellement être utilisés par les sites web comme stockage temporaire (par exemple, D :\local et %TMP), ils sont uniquement chiffrés au repos dans l’offre de App Service multilocataire publique où la référence SKU Pv3 peut être utilisée. Pour les anciennes unités d’échelle multilocataires publiques où la référence SKU Pv3 n’est pas disponible, le client doit créer un groupe de ressources et y redéployer ses ressources.
En outre, le client a la possibilité d’exécuter son application dans App Service directement à partir d’un package ZIP. Pour plus d’informations, consultez : Exécuter votre application dans Azure App Service directement à partir d’un package ZIP.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services.
Remarque : le contenu d’un site web dans une application App Service, tel que les fichiers, est stocké dans stockage Azure, qui chiffre automatiquement le contenu au repos. Choisissez de stocker les secrets d’application dans Key Vault et de les récupérer au moment de l’exécution.
Les secrets fournis par le client sont chiffrés au repos lorsqu’ils sont stockés dans des bases de données de configuration d’App Service.
Notez que, même si les disques attachés localement peuvent être utilisés en option par des sites web comme stockage temporaire (par exemple, D:\local et %TMP%), ils ne sont pas chiffrés au repos.
Référence : Chiffrement au repos à l’aide de clés gérées par le client
DP-6 : Utiliser un processus sécurisé de gestion de clés
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, y compris la génération, la distribution et le stockage des clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de mise hors service ou de compromission de clé. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client (CMK) au niveau de la charge de travail, du service ou de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via les ID de clé du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération initiale de clés et le transfert de clé.
Référence : utilisez des références Key Vault pour App Service et Azure Functions
DP-7 : utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : App Service pouvez être configurés avec SSL/TLS et d’autres certificats, qui peuvent être configurés directement sur App Service ou référencés à partir de Key Vault. Pour garantir la gestion centralisée de tous les certificats et secrets, stockez tous les certificats utilisés par App Service dans Key Vault au lieu de les déployer localement sur App Service directement. Lorsque cette option est configurée, App Service télécharge automatiquement le dernier certificat à partir d’Azure Key Vault. Vérifiez que la génération du certificat respecte les normes définies sans utiliser de propriétés non sécurisées, telles que : taille de clé insuffisante, période de validité trop longue, chiffrement non sécurisé. Configurez la rotation automatique du certificat dans Azure Key Vault en fonction d’une planification définie ou en cas d’expiration du certificat.
Référence : Ajouter un certificat TLS/SSL dans Azure App Service
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement des services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : utilisez Microsoft Defender pour le cloud afin de configurer Azure Policy d’auditer et d’appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez Azure Policy effets [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur les ressources Azure.
Remarque : Définissez et implémentez des configurations de sécurité standard pour vos applications App Service déployées avec Azure Policy. Utilisez des définitions de Azure Policy intégrées ainsi que des alias de Azure Policy dans l’espace de noms « Microsoft.Web » pour créer des stratégies personnalisées d’alerte, d’audit et d’application des configurations système. Développez un processus et un pipeline pour la gestion des exceptions de stratégie.
Référence : Azure Policy contrôles de conformité réglementaire pour Azure App Service
AM-4 : Limiter l’accès à la gestion des ressources
Autres conseils pour AM-4
Isoler les systèmes qui traitent les informations sensibles. Pour ce faire, utilisez des plans App Service distincts, ou différentes instances App Service Environment, et envisagez l’utilisation de différents abonnements ou groupes d’administration.
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : Le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez Microsoft Defender pour App Service afin d’identifier les attaques ciblant les applications s’exécutant sur App Service. Quand vous activez Microsoft Defender pour App Service, vous bénéficiez immédiatement des services suivants proposés par ce plan Defender :
Sécurisé : Defender pour App Service évalue les ressources couvertes par votre plan App Service et génère des recommandations de sécurité en fonction de ses résultats. Utilisez les instructions détaillées de ces recommandations pour durcir la sécurité de vos ressources App Service.
Détecter : Defender pour App Service détecte une multitude de menaces pour vos ressources App Service en surveillant la instance de machine virtuelle dans laquelle votre App Service s’exécute et son interface de gestion, les requêtes et réponses envoyées à et à partir de vos applications App Service, les bacs à sable et machines virtuelles sous-jacentes, et App Service journaux internes.
Référence : Protéger vos api et applications web
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Activez les journaux de ressources pour vos applications web sur App Service.
Référence : Activer la journalisation diagnostics pour les applications dans Azure App Service
Gestion des postures et des vulnérabilités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : posture et gestion des vulnérabilités.
PV-2 : auditer et appliquer les configurations sécurisées
Autres conseils pour PV-2
Désactivez le débogage à distance. Le débogage à distance ne doit pas être activé pour les charges de travail de production, car cela ouvre des ports supplémentaires sur le service, ce qui augmente la surface d’attaque.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Web :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : les applications de fonction doivent avoir « Certificats clients (certificats clients entrants) » activés | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car Http 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
PV-7 : effectuer des opérations d’équipe rouges régulières
Autres conseils pour PV-7
Effectuez des tests d’intrusion réguliers sur vos applications web en suivant les règles de test d’intrusion de l’engagement.
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatiques régulières
Fonctionnalités
Sauvegarde Azure
Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Dans la mesure du possible, implémentez la conception d’applications sans état pour simplifier les scénarios de récupération et de sauvegarde avec App Service.
Si vous avez vraiment besoin de gérer une application avec état, activez la fonctionnalité Sauvegarde et restauration dans App Service qui vous permet de créer facilement des sauvegardes d’application manuellement ou selon une planification. Vous pouvez configurer les sauvegardes pour qu’elles soient conservées pendant une durée indéfinie. Vous pouvez restaurer l’application d’après la capture instantanée d’un état précédent en remplaçant l’application existante ou en restaurant sur une autre application. Assurez-vous que les sauvegardes régulières et automatisées se produisent à une fréquence définie par les stratégies de votre organisation.
Remarque : App Service pouvez sauvegarder les informations suivantes dans un compte et un conteneur de stockage Azure, que vous avez configurés pour que votre application utilise :
- la configuration d’une application ;
- le contenu d’un fichier ;
- la base de données connectée à votre application.
Référence : Sauvegarder votre application dans Azure
Fonctionnalité de sauvegarde native du service
Description : le service prend en charge sa propre fonctionnalité de sauvegarde native (s’il n’utilise pas Sauvegarde Azure). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Sécurité DevOps
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : sécurité DevOps.
DS-6 : Appliquer la sécurité de la charge de travail tout au long du cycle de vie de DevOps
Autres conseils pour DS-6
Déployez du code pour App Service à partir d’un environnement contrôlé et approuvé, comme un pipeline de déploiement DevOps bien géré et sécurisé. Cela évite le déploiement du code qui n’a pas été contrôlé et vérifié par une version à partir d’un hôte malveillant.
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure