Azure-biztonsági alapkonfiguráció az Azure Spring Appshez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 3.0-s verziójának útmutatását alkalmazza az Azure Spring Appsre. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Spring Appsre vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy funkció releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Spring Appsre nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az Azure Spring Apps hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Azure Spring Apps biztonsági alapkonfiguráció-leképezési fájljának teljes leírását.

Biztonsági profil

A biztonsági profil összefoglalja az Azure Spring Apps nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Tárolók, web
Az ügyfél hozzáférhet a HOST/OS rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az inaktív ügyféltartalmakat tárolja Igaz

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Üzembe helyezheti az Azure Spring Appst a saját virtuális hálózatában a szolgáltatáspéldányok kiépítése során. Ezután az Azure Spring Apps alkalmazás- és szolgáltatás-futtatókörnyezete el lesz különítve a nyilvános internettől.

Referencia: Az Azure Spring Apps üzembe helyezése virtuális hálózaton

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozásával korlátozhatja a szolgáltatás nyitott portjait (például megakadályozhatja, hogy a felügyeleti portok nem megbízható hálózatokról férjenek hozzá).

Vegye figyelembe, hogy számos portnak és címnek elérhetőnek kell lennie a karbantartási feladatokhoz. Tekintse meg a hivatkozást.

Referencia: Az Azure Spring Apps hálózati követelményei

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Microsoft Defender felhőbeli monitorozáshoz

Azure Policy beépített definíciók – Microsoft.AppPlatform:

Name
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internettől. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy más virtuális hálózatokon futó Azure-szolgáltatásban lévő rendszerekkel kommunikáljon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, letiltás, megtagadás 1.1.0

Identitáskezelés

További információ: Azure Security Benchmark: Identity Management.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést (Azure AD) támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitások hitelesítő adatai teljes mértékben felügyeltek, rotáltak és védve vannak a platform által, így elkerülhetők a kódolt hitelesítő adatok a forráskódban vagy a konfigurációs fájlokban.

Referencia: Felügyelt identitások használata alkalmazásokhoz az Azure Spring Cloudban

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz nincs microsoftos útmutató. Tekintse át, és állapítsa meg, hogy a szervezete szeretné-e konfigurálni ezt a biztonsági funkciót.

Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciómegjegyzések: Az Azure Spring Cloud adatsíkjának két része van: az ügyfélalkalmazások és a felügyelt összetevők. Az ügyfélalkalmazások a Felügyelt identitás használatával érhetik el Key Vault. A felügyelt összetevők esetében Key Vault integráció még nem támogatott.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Privileged access.

PA-1: A kiemelt jogosultságú/rendszergazda felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmát veszi figyelembe. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsíkműveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti a beépített Spring Cloud Config-kiszolgálóhoz és a Spring Cloud Service Registryhez való hozzáférést az Azure Spring Appsben. A beépített szerepkör-definíciókról és utasításokról az alábbi dokumentumban olvashat.

Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.

Referencia: Az Azure Spring Cloud Service biztonsági vezérlői

Adatvédelem

További információ: Az Azure biztonsági teljesítménytesztje: Adatvédelem.

DP-2: Bizalmas adatokat célzó anomáliák és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés figyeléséhez (az ügyfél tartalmában). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítása

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Az Azure Spring Cloud Service biztonsági vezérlői

DP-4: Inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Az Azure Spring Cloud Service biztonsági vezérlői

DP-5: Ügyfél által felügyelt kulcs lehetőség használata inaktív adatok titkosítása esetén, ha szükséges

Funkciók

Inaktív adatok titkosítása CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokkal történő titkosítása támogatott a szolgáltatás által tárolt ügyféltartalmak esetében. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkció megjegyzései: Függés az AKS CMK Hobo támogatásához. Kivételt kértek, és jóváhagyták a CMK-támogatás határidejének meghosszabbítását az Azure Spring Cloudban.

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault-ban

Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Amikor egyéni tartományt engedélyez az Azure Spring Apps-alkalmazásokhoz, az ügyfél tanúsítványokat tárolhat az Azure Key Vault és importálhatja az Azure Spring Appsbe a Transport Layer Security (TLS) bejövő forgalomra való kényszerítése érdekében. Részletes útmutatásért tekintse meg a referenciaanyagot.

Referencia: Oktatóanyag: Meglévő egyéni tartomány leképezése az Azure Spring Cloudra

Eszközkezelés

További információ: Azure Security Benchmark: Asset Management.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender a szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Különböző típusú erőforrásnaplók engedélyezése az Azure Spring Appsben, beleértve az ügyfélalkalmazás konzolnaplóit, a felügyelt összetevők naplóit, a bemeneti naplókat és a buildelési feladatnaplókat.

A részletekért tekintse meg a referenciaanyagot.

Referencia: Naplók és metrikák elemzése diagnosztikai beállításokkal

Biztonsági másolat és helyreállítás

További információkért tekintse meg az Azure Biztonsági teljesítménytesztet: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések