Azure-biztonsági alapkonfiguráció az Azure Spring Appshez
Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza az Azure Spring Appsre. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Spring Appsre vonatkozó kapcsolódó útmutatók szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
Az Azure Spring Appsre nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az Azure Spring Apps hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Azure Spring Apps biztonsági alapkonfiguráció-leképezési fájljának teljes leírását.
Biztonsági profil
A biztonsági profil összefoglalja az Azure Spring Apps nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Tárolók, web |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az inaktív ügyféltartalmakat tárolja | Igaz |
Hálózati biztonság
További információ: Azure Security Benchmark: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Üzembe helyezheti az Azure Spring Appst a saját virtuális hálózatában a szolgáltatáspéldányok kiépítése során. Ezután az Azure Spring Apps alkalmazás- és szolgáltatás-futtatókörnyezete el lesz különítve a nyilvános internettől.
Referencia: Az Azure Spring Apps üzembe helyezése virtuális hálózaton
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozásával korlátozhatja a szolgáltatás nyitott portjait (például megakadályozhatja, hogy a felügyeleti portok nem megbízható hálózatokról férjenek hozzá).
Vegye figyelembe, hogy számos portnak és címnek elérhetőnek kell lennie a karbantartási feladatokhoz. Tekintse meg a hivatkozást.
Referencia: Az Azure Spring Apps hálózati követelményei
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciók – Microsoft.AppPlatform:
| Name (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internettől. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy más virtuális hálózatokon futó Azure-szolgáltatásban lévő rendszerekkel kommunikáljon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, letiltás, megtagadás | 1.1.0 |
Identitáskezelés
További információ: Azure Security Benchmark: Identity Management.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést (Azure AD) támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitások hitelesítő adatai teljes mértékben felügyeltek, rotáltak és védve vannak a platform által, így elkerülhetők a kódolt hitelesítő adatok a forráskódban vagy a konfigurációs fájlokban.
Referencia: Felügyelt identitások használata alkalmazásokhoz az Azure Spring Cloudban
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz nincs microsoftos útmutató. Tekintse át, és állapítsa meg, hogy a szervezete szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciómegjegyzések: Az Azure Spring Cloud adatsíkjának két része van: az ügyfélalkalmazások és a felügyelt összetevők. Az ügyfélalkalmazások a Felügyelt identitás használatával érhetik el Key Vault. A felügyelt összetevők esetében Key Vault integráció még nem támogatott.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információ: Azure Security Benchmark: Privileged access.
PA-1: A kiemelt jogosultságú/rendszergazda felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmát veszi figyelembe. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsíkműveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti a beépített Spring Cloud Config-kiszolgálóhoz és a Spring Cloud Service Registryhez való hozzáférést az Azure Spring Appsben. A beépített szerepkör-definíciókról és utasításokról az alábbi dokumentumban olvashat.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
Adatvédelem
További információ: Az Azure biztonsági teljesítménytesztje: Adatvédelem.
DP-2: Bizalmas adatokat célzó anomáliák és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés figyeléséhez (az ügyfél tartalmában). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
DP-4: Inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
DP-5: Ügyfél által felügyelt kulcs lehetőség használata inaktív adatok titkosítása esetén, ha szükséges
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokkal történő titkosítása támogatott a szolgáltatás által tárolt ügyféltartalmak esetében. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkció megjegyzései: Függés az AKS CMK Hobo támogatásához. Kivételt kértek, és jóváhagyták a CMK-támogatás határidejének meghosszabbítását az Azure Spring Cloudban.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault-ban
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault-ban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Amikor egyéni tartományt engedélyez az Azure Spring Apps-alkalmazásokhoz, az ügyfél tanúsítványokat tárolhat az Azure Key Vault és importálhatja az Azure Spring Appsbe a Transport Layer Security (TLS) bejövő forgalomra való kényszerítése érdekében. Részletes útmutatásért tekintse meg a referenciaanyagot.
Referencia: Oktatóanyag: Meglévő egyéni tartomány leképezése az Azure Spring Cloudra
Eszközkezelés
További információ: Azure Security Benchmark: Asset Management.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Naplózás és fenyegetésészlelés
További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender a szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Különböző típusú erőforrásnaplók engedélyezése az Azure Spring Appsben, beleértve az ügyfélalkalmazás konzolnaplóit, a felügyelt összetevők naplóit, a bemeneti naplókat és a buildelési feladatnaplókat.
A részletekért tekintse meg a referenciaanyagot.
Referencia: Naplók és metrikák elemzése diagnosztikai beállításokkal
Biztonsági másolat és helyreállítás
További információkért tekintse meg az Azure Biztonsági teljesítménytesztet: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg az Azure Security Benchmark V3 áttekintését
- További tudnivalók az Azure biztonsági alapterveiről