Az Azure biztonsági alapkonfigurációja App Service

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza a App Service. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a App Service vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A App Service nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy App Service hogyan képezi le teljesen az Azure Biztonsági teljesítménytesztet, tekintse meg a teljes App Service biztonsági alapkonfiguráció-leképezési fájlt.

Biztonsági profil

A biztonsági profil összefoglalja a App Service nagy hatású viselkedését, ami nagyobb biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Számítás, web
Az ügyfél hozzáférhet a HOST/OS-hez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az inaktív ügyféltartalmakat tárolja Igaz

Hálózati biztonság

További információ: Az Azure biztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: Virtual Network integráció alapértelmezés szerint App Service-környezetek használatakor van konfigurálva, de manuálisan kell konfigurálni a nyilvános több-bérlős ajánlat használatakor.

Konfigurációs útmutató: Stabil IP-cím biztosítása az internetcímek felé irányuló kimenő kommunikációhoz: A Virtual Network integrációs funkcióval stabil kimenő IP-címet adhat meg. Ez lehetővé teszi a fogadó fél számára, hogy ip-cím alapján engedélyezze az engedélyezési listát, ha erre szükség van.

Ha a App Service izolált tarifacsomagban, más néven App Service Environment (ASE) használja, közvetlenül üzembe helyezheti az Azure-Virtual Network egy alhálózatán. Hálózati biztonsági csoportokkal biztonságossá teheti Azure App Service-környezetét a virtuális hálózat erőforrásaira irányuló bejövő és kimenő forgalom blokkolásával, vagy korlátozhatja az alkalmazásokhoz való hozzáférést egy App Service Environment.

A több-bérlős App Service (az alkalmazás nem izolált szinten található) lehetővé teszi, hogy az alkalmazások az Virtual Network integrációs funkcióval Virtual Network vagy azon keresztül férhessenek hozzá az erőforrásokhoz. Ezután hálózati biztonsági csoportokkal szabályozhatja az alkalmazás kimenő forgalmát. Az Virtual Network-integráció használatakor engedélyezheti az "Összes útválasztása" konfigurációt, hogy az összes kimenő forgalom az integrációs alhálózaton lévő hálózati biztonsági csoportok és felhasználó által megadott útvonalak hatálya alá tartozhasson. Ez a funkció az alkalmazás nyilvános címére irányuló kimenő forgalom blokkolására is használható. Virtual Network integráció nem használható az alkalmazásokhoz való bejövő hozzáférés biztosítására.

Az Azure-szolgáltatások felé irányuló kommunikációhoz gyakran nem kell az IP-címtől függenie, és ehelyett olyan mechanikákat kell használnia, mint a szolgáltatásvégpontok.

Megjegyzés: A App Service-környezetek esetében a hálózati biztonsági csoportok alapértelmezés szerint egy implicit megtagadási szabályt tartalmaznak a legalacsonyabb prioritással, és explicit engedélyezési szabályok hozzáadását igénylik. Adjon hozzá engedélyezési szabályokat a hálózati biztonsági csoporthoz a legkevésbé kiemelt hálózati megközelítés alapján. A App Service Environment üzemeltetésére használt mögöttes virtuális gépek nem érhetők el közvetlenül, mert Microsoft által felügyelt előfizetésben találhatók.

Ha Virtual Network integrációs szolgáltatást használ ugyanabban a régióban lévő virtuális hálózatokkal, használjon hálózati biztonsági csoportokat és útvonaltáblákat felhasználó által megadott útvonalakkal. A felhasználó által megadott útvonalak az integrációs alhálózaton helyezhetők el, hogy a kimenő forgalmat a kívánt módon küldjék el.

Referencia: Az alkalmazás integrálása azure-beli virtuális hálózattal

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma figyelembe véve a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Szolgáltatás megjegyzései: A hálózati biztonsági csoport támogatása minden, App Service-környezetet használó ügyfél számára elérhető, de csak a nyilvános több-bérlős ajánlatot használó ügyfelek számára elérhető virtuális hálózattal integrált alkalmazásokban.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: App Service Environment hálózatkezelés

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Privát végpontok használata az Azure Web Apps számára, hogy a magánhálózaton található ügyfelek biztonságosan elérhessék az alkalmazásokat Private Link keresztül. A privát végpont az Azure-beli virtuális hálózat címteréből származó IP-címet használ. A magánhálózaton lévő ügyfél és a webalkalmazás közötti hálózati forgalom áthalad a virtuális hálózaton és egy Private Link a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget.

Megjegyzés: A privát végpontot csak a webalkalmazásba beérkező folyamatokhoz használja a rendszer. A kimenő folyamatok nem használják ezt a privát végpontot. A virtuális hálózat integrációs funkciójával kimenő folyamatokat szúrhat be a hálózatba egy másik alhálózaton. A privát végpontok használata a szolgáltatásokhoz a App Service forgalom fogadó végénél elkerüli az SNAT-t, és stabil kimenő IP-tartományt biztosít.

További útmutató: Ha Azure Container Registry (ACR) tárolókat futtat App Service, győződjön meg arról, hogy a rendszerképek magánhálózaton keresztül vannak leküldve. Ehhez konfiguráljon egy privát végpontot az ACR-en, amely ezeket a képeket tárolja a webalkalmazás "WEBSITE_PULL_IMAGE_OVER_VNET" alkalmazásbeállításának beállításával együtt.

Referencia: Privát végpontok használata az Azure Web Apphoz

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabállyal (nem NSG vagy Azure Firewall), vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést szolgáltatásszintű IP ACL-szűrési szabályokkal vagy privát végpontokkal, vagy a publicNetworkAccess tulajdonság ARM-ben letiltottra állításával.

Referencia: Azure App Service hozzáférési korlátozások beállítása

NS-5: DDOS-védelem üzembe helyezése

Egyéb útmutató az NS-5-höz

Engedélyezze a DDOS Protection Standardot a App Service Web Application Firewall üzemeltető virtuális hálózaton. Az Azure alapszintű DDoS-védelmet biztosít a hálózatán, amely az intelligens DDoS Standard képességekkel fejleszthető, amelyek a normál forgalmi mintákkal ismerkednek meg, és észlelik a szokatlan viselkedést. A DDoS Standard egy Virtual Network vonatkozik, ezért az alkalmazás előtt konfigurálva kell lennie a hálózati erőforráshoz, például Application Gateway vagy NVA-hoz.

NS-6: Webalkalmazási tűzfal üzembe helyezése

Egyéb útmutató az NS-6-hoz

Kerülje a WAF megkerülését az alkalmazások esetében. Győződjön meg arról, hogy a WAF-ot nem lehet megkerülni, ha csak a WAF-hez való hozzáférést zárolja. Használja a hozzáférési korlátozások, a szolgáltatásvégpontok és a privát végpontok kombinációját.

Emellett a App Service Environment védelme érdekében a forgalmat egy Web Application Firewall (WAF) engedélyezett Azure Application Gateway vagy az Azure Front Dooron keresztül irányíthatja.

A több-bérlős ajánlat esetében a következőkkel biztonságossá teheti az alkalmazás bejövő forgalmát:

  • Hozzáférési korlátozások: a bejövő hozzáférést szabályozó engedélyezési vagy megtagadási szabályok sorozata
  • Szolgáltatásvégpontok: letilthatják a bejövő forgalmat a megadott virtuális hálózatokon vagy alhálózatokon kívülről
  • Privát végpontok: tegye elérhetővé alkalmazását a Virtual Network egy privát IP-címmel. Ha az alkalmazásban engedélyezve van a privát végpontok, az már nem érhető el az interneten

Fontolja meg egy Azure Firewall megvalósítását az alkalmazás- és hálózati kapcsolati szabályzatok központi létrehozásához, kikényszerítéséhez és naplózásához az előfizetésekben és a virtuális hálózatokban. Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózati erőforrásokhoz, amely lehetővé teszi a külső tűzfalak számára a virtuális hálózatról érkező forgalom azonosítását.

Identitáskezelés

További információ: Azure Security Benchmark: Identity Management.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hitelesített webalkalmazások esetén csak jól ismert identitásszolgáltatókat használjon a felhasználói hozzáférés hitelesítéséhez és engedélyezéséhez. Abban az esetben, ha az alkalmazást csak a saját szervezete felhasználói érhetik el, vagy ha a felhasználók mindegyike az Azure Active Directoryt (Azure AD) használja, konfigurálja a Azure AD alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.

Referencia: Hitelesítés és engedélyezés Azure App Service és Azure Functions

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Az adatsík-hozzáférés helyi hitelesítési módszereinek használatának korlátozása. Ehelyett használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.

Referencia: Hitelesítés és engedélyezés Azure App Service és Azure Functions

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést (Azure AD) támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitások hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, így elkerülhetők a forráskódban vagy konfigurációs fájlokban található, rögzített hitelesítő adatok.

A felügyelt identitások App Service való használatának gyakori forgatókönyve más Azure PaaS-szolgáltatások, például Azure SQL Database, Azure Storage vagy Key Vault elérése.

Referencia: Felügyelt identitások használata App Service és Azure Functions

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

További útmutatás: Bár a szolgáltatás a hitelesítés mintájaként támogatja a szolgáltatásneveket, javasoljuk, hogy ahol csak lehetséges, használja a felügyelt identitásokat.

Microsoft Defender felhőbeli monitorozáshoz

Azure Policy beépített definíciók – Microsoft.Web:

Name
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Felügyelt identitást kell használni az API-alkalmazásban Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a függvényalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a webalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Feltételes hozzáférés adatsíkhoz

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a meghatározott helyekről való hozzáférés letiltása vagy biztosítása, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Győződjön meg arról, hogy az alkalmazás titkos kódjai és hitelesítő adatai biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták be őket. Az alkalmazás felügyelt identitásának használatával ezután biztonságos módon férhet hozzá a Key Vault tárolt hitelesítő adatokhoz vagy titkos kódokhoz.

Hivatkozás: Key Vault hivatkozások használata App Service és Azure Functions

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Privileged access.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) a szolgáltatás adatsíkműveleteihez való felügyelt hozzáférésre használható. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.

Adatvédelem

További információ: Azure Security Benchmark: Data protection.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Funkciók

Bizalmas adatok felderítése és besorolása

Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Implementálja a Credential Scannert a buildfolyamatban a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

Funkciók

Adatszivárgás/adatvesztés megelőzése

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés figyeléséhez (az ügyfél tartalmában). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Bár az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el a App Service számára, csökkentheti a virtuális hálózat adatkiszivárgási kockázatát az összes olyan szabály eltávolításával, ahol a cél "címkét" használ az internethez vagy az Azure-szolgáltatásokhoz.

A Microsoft kezeli a App Service mögöttes infrastruktúráját, és szigorú ellenőrzéseket vezetett be az adatok elvesztésének vagy felfedésének megelőzése érdekében.

Címkék használatával nyomon követheti App Service bizalmas információkat tároló vagy feldolgozó erőforrásokat.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A TLS/SSL-beállításokban konfigurált TLS v1.2 alapértelmezett minimális verziójának használata és kényszerítése az összes átvitel alatt álló információ titkosításához. Győződjön meg arról is, hogy az összes HTTP-kapcsolatkérést a RENDSZER HTTPS-hez irányítja át.

Hivatkozás: TLS-/SSL-tanúsítvány hozzáadása Azure App Service

Microsoft Defender felhőbeli monitorozáshoz

Azure Policy beépített definíciók – Microsoft.Web:

Name
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
Az FTPS-nek csak az API-alkalmazásban kell lennie FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében AuditIfNotExists, Letiltva 2.0.0
Az FTPS-nek csak a függvényalkalmazásban kell lennie FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében AuditIfNotExists, Letiltva 2.0.0
FtpS-t kell használni a webalkalmazásban FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében AuditIfNotExists, Letiltva 2.0.0
A függvényalkalmazás csak HTTPS-kapcsolaton keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A legújabb TLS-verziót kell használni az API-alkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
A legújabb TLS-verziót kell használni a függvényalkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
A legújabb TLS-verziót kell használni a webalkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
A webalkalmazás csak HTTPS-kapcsolaton keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0

DP-4: Inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Szolgáltatásjegyzetek: Az App Service-alkalmazások webhelytartalmait, például a fájlokat az Azure Storage tárolja, amely automatikusan titkosítja az inaktív tartalmat. Dönthet úgy, hogy Key Vault tárolja az alkalmazáskulcsokat, és futásidőben lekéri őket.

Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben App Service konfigurációs adatbázisokban vannak tárolva.

Vegye figyelembe, hogy bár a helyileg csatlakoztatott lemezeket a webhelyek ideiglenes tárolóként is használhatják (például D:\local és %TMP%), inaktív állapotban nincsenek titkosítva.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

DP-5: Ügyfél által felügyelt kulcs lehetőség használata inaktív adatok titkosítása esetén, ha szükséges

Funkciók

Inaktív adatok titkosítása CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokkal történő titkosítása támogatott a szolgáltatás által tárolt ügyféltartalmak esetében. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és megvalósítása az adott szolgáltatások ügyfél által felügyelt kulcsával.

Megjegyzés: Az App Service-alkalmazások webhelytartalmait, például a fájlokat az Azure Storage tárolja, amely automatikusan titkosítja az inaktív tartalmat. Dönthet úgy, hogy Key Vault tárolja az alkalmazáskulcsokat, és futásidőben lekéri őket.

Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben App Service konfigurációs adatbázisokban vannak tárolva.

Vegye figyelembe, hogy bár a helyileg csatlakoztatott lemezeket a webhelyek ideiglenes tárolóként is használhatják (például D:\local és %TMP%), inaktív állapotban nincsenek titkosítva.

Referencia: Inaktív adatok titkosítása ügyfél által felügyelt kulcsokkal

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault-ban

Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Key Vault használatával hozhatja létre és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault-ban és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcs kivezetése vagy sérülése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatásba (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kulcsok kezdeti létrehozásához és átviteléhez.

Hivatkozás: Key Vault hivatkozások használata App Service és Azure Functions

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: App Service konfigurálható SSL-/TLS-lel és más tanúsítványokkal, amelyek közvetlenül App Service konfigurálhatók, vagy Key Vault hivatkozhatnak gombra. Az összes tanúsítvány és titkos kulcs központi felügyeletének biztosításához tárolja az App Service által használt tanúsítványokat Key Vault ahelyett, hogy közvetlenül App Service telepítenék őket. Ha ez konfigurálva van, App Service automatikusan letölti a legújabb tanúsítványt az Azure Key Vault. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: elégtelen kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure-Key Vault egy meghatározott ütemezés vagy tanúsítvány lejárata alapján.

Hivatkozás: TLS-/SSL-tanúsítvány hozzáadása Azure App Service

Eszközkezelés

További információ: Azure Security Benchmark: Asset Management.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk Azure Policy keresztül figyelhetők és kényszeríthetők. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhat Azure Policy az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha az erőforrások konfigurációs eltérést észlelnek. Használjon Azure Policy [megtagadási] és [üzembe helyezési, ha nem létezik] effektusokat az Azure-erőforrások biztonságos konfigurációjának kikényszerítéséhez.

Megjegyzés: Szabványos biztonsági konfigurációk definiálása és implementálása App Service telepített alkalmazásokhoz Azure Policy. A "Microsoft.Web" névtérben beépített Azure Policy definíciók, valamint Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a rendszerkonfigurációk riasztásához, naplózásához és kényszerítéséhez. Szabályzatkivételeket kezelő folyamat és folyamat fejlesztése.

Referencia: Azure Policy Azure App Service jogszabályi megfelelőségi vezérlői

AM-4: Az eszközkezeléshez való hozzáférés korlátozása

Egyéb útmutató az AM-4-hez

A bizalmas adatokat feldolgozó rendszerek elkülönítése. Ehhez használjon különálló App Service csomagokat vagy App Service-környezeteket, és fontolja meg különböző előfizetések vagy felügyeleti csoportok használatát.

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender for Service / Termékajánlat

Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for App Service segítségével azonosíthatja a App Service futó alkalmazásokat célzó támadásokat. Ha engedélyezi a Microsoft Defendert a App Service számára, azonnal élvezheti a Defender-csomag által kínált alábbi szolgáltatásokat:

  • Biztonságos: A Defender for App Service felméri a App Service-terv által lefedett erőforrásokat, és a megállapítások alapján biztonsági javaslatokat hoz létre. A javaslatokban található részletes utasítások segítségével megerősítheti App Service erőforrásait.

  • Észlelés: A Defender for App Service számos fenyegetést észlel a App Service-erőforrásokra nézve a App Service futtató virtuálisgép-példány és annak felügyeleti felületének, a App Service-alkalmazásoknak, a mögöttes tesztkörnyezeteknek és virtuális gépeknek küldött kérések és válaszok figyelésével, valamint App Service belső naplók.

Referencia: Webalkalmazások és API-k védelme

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a webalkalmazásokhoz App Service.

Referencia: Diagnosztikai naplózás engedélyezése alkalmazásokhoz Azure App Service

Állapot- és biztonságirés-kezelés

További információ: Azure Security Benchmark: Testtartás és sebezhetőség-kezelés.

PV-2: Biztonságos konfigurációk naplózása és kényszerítése

Egyéb útmutató a PV-2-hez

Kapcsolja ki a távoli hibakeresést, a távoli hibakeresést nem szabad bekapcsolni éles számítási feladatok esetében, mivel ez további portokat nyit meg a szolgáltatáson, ami növeli a támadási felületet.

Microsoft Defender felhőbeli monitorozáshoz

Azure Policy beépített definíciók – Microsoft.Web:

Name
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
A CORS nem engedélyezheti minden erőforrás számára az API-alkalmazás elérését Az eltérő eredetű erőforrások megosztásának (CORS) nem szabad engedélyeznie, hogy minden tartomány hozzáférjen az API-alkalmazáshoz. Csak a szükséges tartományoknak engedélyezi az API-alkalmazás használatát. AuditIfNotExists, Disabled 1.0.0
A CORS nem engedélyezi minden erőforrás számára a függvényalkalmazások elérését A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. AuditIfNotExists, Disabled 1.0.0
A CORS nem engedélyezheti minden erőforrásnak, hogy hozzáférjen a webalkalmazásokhoz Az eltérő eredetű erőforrások megosztása (CORS) nem engedélyezheti az összes tartomány számára a webalkalmazás elérését. Csak a szükséges tartományok használhatják a webalkalmazást. AuditIfNotExists, Disabled 1.0.0
Győződjön meg arról, hogy az API-alkalmazás "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" értéke "Be" Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Naplózás, letiltva 1.0.0
Győződjön meg arról, hogy a WEBalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Naplózás, letiltva 1.0.0
A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" funkciót Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Naplózás, letiltva 1.0.1
A távoli hibakeresést ki kell kapcsolni az API Apps esetében A távoli hibakereséshez bejövő portokat kell megnyitni az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez bejövő portokat kell megnyitni a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez bejövő portokat kell megnyitni egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0

PV-7: Rendszeres vörös csapatműveletek végrehajtása

Egyéb útmutató a PV-7-hez

Végezzen rendszeres behatolási tesztet a webalkalmazásokon az előjegyzés behatolástesztelési szabályainak megfelelően.

Biztonsági másolat és helyreállítás

További információkért tekintse meg az Azure Biztonsági teljesítménytesztet: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról a Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Ahol lehetséges, implementáljon állapot nélküli alkalmazástervezést a helyreállítási és biztonsági mentési forgatókönyvek egyszerűbbé tétele érdekében App Service.

Ha valóban fenn kell tartania egy állapotalapú alkalmazást, engedélyezze a Biztonsági mentés és visszaállítás funkciót App Service, amely lehetővé teszi az alkalmazások biztonsági mentésének manuális vagy ütemezés szerinti létrehozását. Beállíthatja, hogy a biztonsági másolatok legfeljebb határozatlan ideig megmaradjanak. Az alkalmazást visszaállíthatja egy korábbi állapot pillanatképére a meglévő alkalmazás felülírásával vagy egy másik alkalmazásba való visszaállítással. Győződjön meg arról, hogy a rendszeres és automatikus biztonsági mentések a szervezeti szabályzatok által meghatározott gyakorisággal történnek.

Megjegyzés: App Service biztonsági másolatot készíthet a következő információkról egy Azure Storage-fiókba és -tárolóba, amelyet az alkalmazás használatára konfigurált:

  • Alkalmazáskonfiguráció
  • Fájl tartalma
  • Az alkalmazáshoz csatlakoztatott adatbázis

Referencia: Alkalmazás biztonsági mentése az Azure-ban

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használ Azure Backup). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DevOps-biztonság

További információ: Azure Security Benchmark: DevOps security.

DS-6: A számítási feladatok biztonságának kikényszerítése a DevOps-életciklus során

Egyéb útmutató a DS-6-hoz

Kódot helyezhet üzembe App Service egy ellenőrzött és megbízható környezetből, például egy jól felügyelt és biztonságos DevOps-üzembehelyezési folyamatból. Ezzel elkerülhetők azok a kódok, amelyek verziószámát nem szabályozták és ellenőrizték, hogy rosszindulatú gazdagépről legyenek üzembe helyezve.

Következő lépések