Az Azure-beli biztonsági alapkonfiguráció az Azure Spring Appshez
Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Spring Appsre. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Azure Spring Appsre vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
Az Azure Spring Appsre nem alkalmazható funkciók ki lettek zárva. Ha meg szeretné tudni, hogy az Azure Spring Apps hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg az Azure Spring Apps biztonsági alapkonfiguráció-leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja az Azure Spring Apps nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Tárolók, web |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Spring Apps üzembe helyezése a saját virtuális hálózatában a szolgáltatáspéldányok kiépítése során. Ezután az Azure Spring Appsben lévő alkalmazások és szolgáltatás-futtatókörnyezetek el lesznek különítve a nyilvános internettől.
Referencia: Azure Spring Apps üzembe helyezése virtuális hálózaton
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához).
Vegye figyelembe, hogy számos portnak és címnek elérhetőnek kell lennie a karbantartási feladatokhoz. Tekintse meg a referenciát.
Referencia: Az Azure Spring Apps hálózati követelményei
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.AppPlatform:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure-szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának vezérlését. | Naplózás, letiltva, megtagadás | 1.2.0 |
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
Referencia: Felügyelt identitások használata alkalmazásokhoz az Azure Spring Cloudban
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az Azure Spring Cloud adatsíkjának két része van: ügyfélalkalmazások és felügyelt összetevők. Az ügyfélalkalmazások a Felügyelt identitás használatával érhetik el a Key Vault. A felügyelt összetevők esetében Key Vault integráció még nem támogatott.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti az Azure Spring Apps beépített Spring Cloud Config-kiszolgálójának és Spring Cloud Service Registry-adatbázisának hozzáférését. A beépített szerepkör-definíciókat és utasításokat az alábbi dokumentumban ismertetjük.
Referencia: Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Spring Cloud Service biztonsági vezérlői
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Amikor egyéni tartományt engedélyez az alkalmazásokhoz az Azure Spring Appsben, az ügyfél tanúsítványokat tárolhat az Azure Key Vault és importálhat az Azure Spring Appsbe a Transport Layer Security (TLS) kényszerítése érdekében a bejövő forgalomhoz. A részletes útmutatásért tekintse meg a referenciát.
Referencia: Oktatóanyag: Meglévő egyéni tartomány leképezése az Azure Spring Cloudba
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Különböző típusú erőforrásnaplók engedélyezése az Azure Spring Appsben, beleértve az ügyfélalkalmazás konzolnaplóit, a felügyelt összetevők naplóit, a bemeneti naplókat és a buildelési feladatnaplókat.
A részletekért tekintse meg a referenciát.
Referencia: Naplók és metrikák elemzése diagnosztikai beállításokkal
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről