Az Azure Spring Apps kezdőzónagyorsítójának biztonsági szempontjai

Ez a cikk az Azure Spring Appsben üzemeltetett számítási feladatok biztonsági szempontjait és javaslatait ismerteti. Ez az útmutató segít létrehozni egy olyan számítási feladatot, amely képes észlelni, megelőzni és reagálni a biztonsági résekre.

A biztonságos alkalmazások nem garantálhatják a teljes számítási feladat biztonságát. Számítási feladat tulajdonosaként értékelje ki az emberi hibákat, és értékelje ki a támadási felületet, például az alkalmazást és azokat az infrastruktúra-szolgáltatásokat, amelyekkel az alkalmazás együttműködik.

Az Azure biztonsági vezérlőket biztosít a hálózathoz, az identitáshoz és az adatokhoz, hogy támogassa a mélységi védelmi stratégiát. A vezérlők nagy része az Azure Spring Appsbe van beépítve. Ez az útmutató az Azure Spring Apps azure-beli biztonsági alapkonfigurációján alapul, amely az Azure Security Benchmark 2.0-s verziójából származik. A teljesítményteszt javaslatokat nyújt az Azure Spring Apps-felhőben futó számítási feladatok biztonságossá tételéhez.

A központosított csapatok hálózatkezelési és identitásvezérlőket biztosítanak a platform részeként. Védőkorlátokat biztosítanak az Azure platformjai, alkalmazásai és erőforrásai feletti felügyelet fenntartása érdekében. A számítási feladathoz biztosított alkalmazás-kezdőzóna-előfizetés előre ki van adva szabályzatokkal, amelyek a felügyeleti csoporttól öröklődnek.

A számítási feladat tervezésekor győződjön meg arról, hogy a tulajdonában lévő biztonsági vezérlők igazodnak a központi vezérlőkhöz. A kialakítást a központosított biztonsági csapat rendszeresen felülvizsgálja. Rendszeresen tekintse át a biztonsági vezérlőket és a platformszabályzatokat a központi csapatokkal, hogy meggyőződjön arról, hogy a számítási feladatokra vonatkozó követelmények teljesülnek.

A platform kialakításával kapcsolatos információkért lásd:

• Tervezési terület: Biztonság
• Tervezési terület: Azure-szabályozás

Kialakítási szempontok

• Belső forgalom. A belső erőforrások közötti forgalom korlátozása vagy engedélyezése az üzleti kockázatokkal összhangban álló vállalati szegmentálási elvet követi. Szükség esetén hozzon létre elkülönítési határokat virtuális hálózatokon és alhálózatokon keresztül. Szabályok implementálása a hálózatok közötti forgalom korlátozására.

• Külső forgalom. Az Azure natív erőforrásaival megvédheti számítási feladatai erőforrásait a külső hálózatok támadásai ellen, beleértve a következőket:

  • Elosztott szolgáltatásmegtagadási (DDoS) támadások.
  • Alkalmazásspecifikus támadások.
  • Kéretlen és potenciálisan rosszindulatú internetes forgalom.

• Identitáskezelés. A Microsoft Entra olyan funkcióit használhatja, mint a felügyelt identitások, az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások és a feltételes hozzáférés a Hitelesítés és engedélyezés Microsoft Entra-azonosítón keresztüli biztosításához.

• Biztonsági monitorozás. A rendszernek rendelkeznie kell monitorozási eszközökkel a fenyegetések észleléséhez és a megfelelőség méréséhez a szervezeti célok és az Azure Security Benchmark-vezérlők használatával. Ezeket az eszközöket integrálni kell a központi biztonsági információs és eseménykezelő (SIEM) rendszerekbe, hogy átfogó képet kapjunk a biztonsági helyzetről.

• Átvitt adatok. Az összetevők, helyek vagy API-hívások között átvitt adatokat titkosítani kell.

• Inaktív adatok. Minden tárolt adatot, beleértve a konfigurációt is, titkosítva kell lennie.

• Szabályozási szabályzatok. A szervezet által megadott megfelelőségi szabványoktól való eltéréseket kell észlelnie. Az Azure Policy beépített definíciókat biztosít, amelyeket az eltérések észleléséhez kell alkalmazni. Szabályzatok alkalmazásakor nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Előfordulhat, hogy a beépített definíciók nem kezelik a megfelelő szabványokat.

• Hitelesítő adatok expozíciója. Kódot, konfigurációkat és tárolt adatokat helyezhet üzembe és futtathat identitásokkal vagy titkos kódokkal. Győződjön meg arról, hogy a hitelesítő adatok meg vannak vizsgálva az eszközök elérésekor.

• Tanúsítványkezelés. A tanúsítványokat a Teljes felügyelet megbízhatóság elve alapján kell betölteni, mindig ellenőrizni kell, és hitelesítő adatoktól mentesnek kell lenniük. A tanúsítványokhoz való hozzáférés engedélyezése előtt csak a megosztott tanúsítványokban bízhat meg, ha ellenőrzi az identitást.

• Konzisztens üzemelő példányok. Az infrastruktúra mint kód (IaC) használatával automatizálhatja az összes Azure-erőforrás kiépítését és konfigurálását, és megerősítheti a biztonsági helyzetet.

Tervezési javaslatok

Hálózat szegélyként

Ezek a hálózati vezérlők elkülönítési határokat hoznak létre, és korlátozzák az alkalmazáson belüli és kimenő folyamatokat.

Hálózati szegmentálás

Meglévő virtuális hálózat létrehozása vagy használata az Azure Spring Cloud szolgáltatás erőforrásainak üzembe helyezésekor.

Hozzon létre elkülönítést a virtuális hálózaton a részkiosztással. A belső erőforrások közötti forgalom korlátozása vagy engedélyezése az NSG-szabályok használatával. A Felhőhöz készült Microsoft Defender adaptív hálózatkeményítési funkciójával tovább edzhet a portokat és a forrás IP-címeket korlátozó NSG-konfigurációkon. A konfigurációkat külső hálózati forgalmi szabályokra alapozza.

Biztonsági szabályok létrehozásakor az Azure-szolgáltatáscímkék használatával határozza meg a hálózati hozzáférés-vezérlőket a megadott IP-címek helyett. Ha a szolgáltatáscímke nevét a megfelelő szabály forrás- vagy célmezőjében adja meg, engedélyezze vagy tiltsa le a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat. A címek változásával automatikusan frissíti a szolgáltatáscímkét.

A hálózati biztonsági csoportokon vagy az AzureSpringCloud Azure Firewallon található szolgáltatáscímkével engedélyezheti az alkalmazások felé történő forgalmat az Azure Spring Appsben.

További információ: Az Azure Spring Cloud virtuális hálózaton való futtatásával kapcsolatos ügyfélfeladatok.

Csatlakozás magánhálózatokkal

Egy megosztott környezetben az Azure ExpressRoute vagy az Azure virtuális magánhálózat (VPN) használatával hozzon létre privát kapcsolatokat az Azure-adatközpontok és a helyszíni infrastruktúra között. Az ExpressRoute-kapcsolatok megbízhatósággal, gyorsabb sebességgel és alacsonyabb késéssel nem haladnak át a nyilvános interneten.

Pont –hely VPN és helyek közötti VPN esetén csatlakoztassa a helyszíni eszközöket vagy hálózatokat egy virtuális hálózathoz. A VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációját használhatja.

Két vagy több azure-beli virtuális hálózat csatlakoztatásához használjon virtuális hálózatok közötti társviszony-létesítést. A társított virtuális hálózatok közti hálózati adatforgalom nem nyilvános. Az ilyen típusú forgalom az Azure gerinchálózatán marad.

Külső hálózatok támadásai

Helyezzen vezérlőket a bejövő forgalomra, és tiltsa le az alkalmazásréteg-támadásokat Azure-alkalmazás átjáróval integrált webalkalmazási tűzfallal (WAF).

Az Azure Firewall használatával korlátozhatja az alkalmazás kimenő forgalmát. Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen.

Az Azure Firewall fenyegetésintelligencia-alapú szűrésével riasztást küldhet, vagy blokkolhatja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája. Ha hasznos adatvizsgálatra van szükség, helyezzen üzembe egy harmadik féltől származó behatolásészlelési/behatolás-megelőzési rendszert (IDS/IPS) az Azure Marketplace-ről hasznos adatvizsgálati képességekkel. Alternatív megoldásként használhat gazdagépalapú IDS/IPS-t vagy gazdagépalapú végpontészlelési és -válaszmegoldást (Végponti észlelés és reagálás) hálózati alapú IDS/IPS használatával vagy helyett.

A számítási feladatok erőforrásainak DDoS-támadásokkal szembeni védelméhez engedélyezze a DDoS szabványos védelmét az Azure-beli virtuális hálózatokon. A Felhőhöz készült Microsoft Defender segítségével észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

Tartománynév-szolgáltatás (DNS) védelme

DNS-tartományok üzemeltetéséhez használja az Azure DNS-t. A DNS-zónák és -rekordok védelme a rossz szereplőktől. Erre a célra az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és az erőforrás-zárolások ajánlottak. További információt a DNS-bejegyzések keveredésének megakadályozása és az altartomány-átvétel elkerülése című témakörben talál.

Identitás szegélyként

Az Azure a Microsoft Entra ID-on keresztül biztosítja az identitásvezérlőket. Az alkalmazás számos funkcióval rendelkezik, például egyszeri bejelentkezéssel, erős hitelesítéssel, felügyelt identitásokkal és feltételes hozzáféréssel. Az architektúra tervezési lehetőségeiről további információt az Azure Spring Apps kezdőzónagyorsítójának identitáskezelési szempontjai című témakörben talál.

A következő szakasz a választási lehetőségek biztonsági szempontjait ismerteti.

Integráció a központosított identitásrendszerrel

Az Azure-beli célzónák a Microsoft Entra ID azonosítót használják alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A számítási feladatok szolgáltatásainak szabályozásához ajánlott a központosított Microsoft Entra-azonosító. A központosított Microsoft Entra-azonosító magában foglalja a szervezet hálózati erőforrásaihoz, az Azure Storage-hoz, a Key Vaulthoz és más szolgáltatásokhoz való hozzáférést, amelyektől az alkalmazás függ.

Ha hozzáférést szeretne adni az Azure Spring Apps adatsíkhoz, használja az Azure Spring Cloud Data Reader beépített szerepkörét. Ez a szerepkör írásvédett engedélyeket ad.

Az alábbi Microsoft Entra-funkciók ajánlottak:

• Alkalmazásidentitások. Előfordulhat, hogy az alkalmazásnak más Azure-szolgáltatásokhoz kell hozzáférnie. Ha például titkos kulcsokat szeretne lekérni az Azure Key Vaultból.

  Felügyelt identitások használata az Azure Spring Appsszel, hogy az alkalmazás a Microsoft Entra ID-val hitelesíthesse magát más szolgáltatásokban. Kerülje a szolgáltatásnevek használatát erre a célra. A felügyelt identitások hitelesítési folyamata nem használ forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat.

  Ha tanúsítvány-hitelesítő adatokkal rendelkező szolgáltatásneveket kell használnia, és vissza kell esnie az ügyfél titkos kulcsaihoz, javasoljuk, hogy a Microsoft Entra ID-val hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén.

  A Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal. Egy futtatókörnyezeti összetevő, például egy Azure-függvény segítségével lekérheti a titkos kulcsokat a Key Vaultból. További információ: Hitelesítés az Azure Key Vaultban.

• Microsoft Entra egyszeri bejelentkezés (SSO). A Microsoft Entra SSO-t javasoljuk, hogy hitelesítse az alkalmazáshoz való hozzáférést a felhőben vagy a helyszínen futó más alkalmazásokból vagy eszközökből. Az egyszeri bejelentkezés identitáskezelést biztosít belső és külső felhasználóknak, például partnereknek vagy szállítóknak.

• Erős hitelesítési vezérlők. A Microsoft Entra ID többtényezős hitelesítéssel (MFA) és erős jelszó nélküli módszerekkel támogatja az erős hitelesítési vezérlőket. A rendszergazdák és a kiemelt felhasználók számára az erős hitelesítési módszer legmagasabb szintű használatával csökkentheti a robbanási sugarat, ha behatolás történik. Ezután hajtsa végre a megfelelő erős hitelesítési szabályzatot más felhasználók számára. További információ: MFA engedélyezése az Azure-ban és jelszó nélküli hitelesítési lehetőségek a Microsoft Entra ID-ban.

• Feltételes hozzáférés az erőforrásokhoz. Az Azure Spring Apps támogatja a Microsoft Entra Feltételes hozzáférést a felhasználó által meghatározott feltételeken alapuló részletesebb hozzáférés-vezérléshez. Megadhatja, hogy a felhasználók bejelentkezhessenek bizonyos IP-tartományokból, amelyeket be kell jelentkeznie az MFA használatával. Ezek a feltételes hozzáférési szabályzatok csak azokra a felhasználói fiókokra vonatkoznak, amelyek az alkalmazások elérése és kezelése érdekében hitelesítik a Microsoft Entra-azonosítót. Ezek a szabályzatok nem vonatkoznak a számítási feladatok erőforrásaihoz való csatlakozáshoz használt szolgáltatásnevekre, kulcsokra vagy jogkivonatokra.

• Emelt szintű hozzáférés. A Microsoft Entra Privileged Identity Management implementálása a minimális jogosultsági szintű hozzáférés és a mély jelentéskészítés biztosítása érdekében a teljes Azure-környezetben. A teamsnek ismétlődő hozzáférési felülvizsgálatokat kell kezdenie, hogy a megfelelő személyek és szolgáltatási alapelvek rendelkezzenek a jelenlegi és helyes engedélyezési szintekkel.

Adatvezérlők

A hálózati és identitásvezérlők korlátozzák az alkalmazáshoz való hozzáférést, de az adatokat védeni kell. A titkosítás biztosítja az adatintegritást, és kulcsfontosságú biztonsági képesség, amelyet a fenyegetések enyhítésére kell alkalmazni.

Átvitt adatok

Az átvitt adatok érzékenyek a sávon kívüli támadásokra, például a forgalom rögzítésére. Titkosítással győződjön meg arról, hogy a támadók nem tudják könnyen olvasni vagy módosítani az adatokat. Az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Az Azure Spring Apps támogatja a titkosítást a Transport Layer Security (TLS) 1.2-es vagy újabb verziójával. A TLS identitással és megbízhatósági kapcsolaton keresztül biztosít biztonságos kommunikációt, és minden típusú kommunikációt titkosít. Bármilyen típusú TLS-tanúsítványt használhat. Például egy hitelesítésszolgáltató által kibocsátott tanúsítványok, kiterjesztett érvényesítési tanúsítványok, tetszőleges számú altartományt támogató helyettesítő tanúsítványok vagy önaláírt tanúsítványok fejlesztői és tesztelési környezetekhez.

A titkosítás kritikus fontosságú a külső és a nyilvános hálózatok forgalmához. Alapértelmezés szerint minden nyilvános végpontnak HTTPS-t kell használnia a bejövő forgalomhoz. Az Azure Spring Apps szolgáltatás Azure Resource Manager API-hívásokon keresztüli konfigurálására irányuló felügyeleti hívásoknak HTTPS-en keresztül kell lenniük.

HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek egyeztethetik a TLS 1.2-s vagy újabb verzióját. Ne használjon elavult verziókat vagy protokollokat. Tiltsa le a gyenge titkosításokat.

A távoli felügyelethez a titkosítás nélküli protokoll helyett használja a Secure Shellt (SSH) Linuxhoz vagy Távoli asztali protokollhoz (RDP) és TLS-hez Windowshoz.

Inaktív adatok

A számítási feladatnak tárolóállapotra van szüksége a forrás és az összetevők, a konfigurációs kiszolgáló beállításai, az alkalmazásbeállítások és a tárterület esetében. A kiszolgálóoldali adatok inaktív állapotban azure Storage-titkosítással védettek. A Storage automatikusan titkosítja a tartalmat a Microsoft által felügyelt kulcsokkal.

A konfigurációs kiszolgáló gyorsítótára, a feltöltött forrásokból létrehozott futtatókörnyezeti bináris fájlok és az alkalmazásnaplók az alkalmazás élettartama során egy Azure-beli felügyelt lemezre lesznek mentve. Ezek az adatok automatikusan titkosítva lesznek. A felhasználó által feltöltött forrásból létrehozott tárolórendszerképek titkosítva vannak, és az Azure Container Registryben vannak mentve.

Támogatási forgatókönyvek esetén, ha a Microsoftnak hozzá kell férnie a vonatkozó ügyféladatokhoz, használja a Microsoft Azure Ügyfélzárolás funkcióját, mert a csapatnak vagy a szervezetnek jóvá kell hagynia a hozzáférést.

Fiókok rendellenességeinek monitorozása és a hozzájuk kapcsolódó riasztások

Felhőhöz készült Microsoft Defender ajánlott riasztásokat kapni a gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek vagy az előfizetés elavult fiókjainak túlzott számáról.

Az Azure Spring Apps integrálva van a Microsoft Entra ID-val, amely nyomon követheti a bejelentkezési tevékenységeket, beleértve a kockázatos bejelentkezéseket is. Az auditnaplók segítségével észlelheti a Microsoft Entra-azonosítón belüli erőforrások módosításait. Az adatok integrálva lesznek az Azure Monitorral, és exportálhatók az Azure Sentinelbe.

For more information, see:

• Tevékenységjelentések naplózása a Microsoft Entra-azonosítóban
• A Microsoft Entra kockázatos bejelentkezéseinek megtekintése
• Felhasználók identitásának és hozzáférési tevékenységének figyelése a Felhőhöz készült Microsoft Defender
• Riasztások Felhőhöz készült Microsoft Defender fenyegetésintelligencia-védelmi moduljában

Szabályozási szabályzatok

Az Azure Azure Spring Cloud nevű beépített definíciójának hálózati injektálást kell használnia, amely lehetővé teszi a hálózati vezérlők kikényszerítését.

1. Észleli az alkalmazás elkülönítési határainak megvalósítását az internetről.
2. Engedélyezze az Azure Spring Apps számára, hogy privát hálózatokkal kommunikáljon a helyszíni adatközpontokban vagy az Azure szolgáltatásban más virtuális hálózatokon.
3. Az Azure Spring Apps virtuális hálózat bejövő és kimenő hálózati kommunikációjának szabályozása.

Tanúsítványkezelés

Előfordulhat, hogy egy alkalmazásnak nyilvános TLS-tanúsítványokra van szüksége a háttérszolgáltatásokkal vagy a helyszíni rendszerekkel való kommunikáció során. A tanúsítványokat feltöltheti a Key Vaultba.

A Key Vaultból származó tanúsítványok biztonságos betöltéséhez a Spring Boot-alkalmazások felügyelt identitásokat és Azure-szerepköralapú hozzáférés-vezérlést (RBAC) használnak. Az Azure Spring Apps szolgáltatói szolgáltatásnevet és Azure szerepköralapú hozzáférés-vezérlést használ. Ezt a biztonságos betöltést az Azure Key Vault Java titkosítási architektúraszolgáltatója (JCA) biztosítja. További információt az Azure Key Vault JCA Java-ügyfélkódtárában talál.

Ha a Spring-kód, a Java-kód vagy a nyílt forráskódú kódtárak( például az OpenSSL) a JVM alapértelmezett JCA-láncára támaszkodnak, hogy implicit módon betöltse a tanúsítványokat a JVM megbízhatósági tárolójába, importálhatja a TLS-tanúsítványokat a Key Vaultból az Azure Spring Appsbe. Használja ezeket a tanúsítványokat az alkalmazásban. További információ: TLS/SSL-tanúsítványok használata az alkalmazásban az Azure Spring Appsben.

Hitelesítő adatok vizsgálata

A Hitelesítőadat-ellenőrző implementálása a kódhoz, konfigurációkhoz és tárolt adatokhoz hozzáférő hitelesítő adatok azonosításához. A Credential Scanner arra ösztönzi, hogy a felderített hitelesítő adatokat biztonságosabb helyekre, például a Key Vaultba helyezze át.

A GitHub esetében a natív titkos kulcskeresési funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

For more information, see:

• Hitelesítőadat-ellenőrző beállítása
• GitHub-titkos kódok vizsgálata

Következő lépések

Monitorozási műveletek