A webes számítási feladatok biztonsági követelményeinek megadása
Ez az egység összefoglalja az App Service Azure-beli biztonsági alapkonfigurációját, hogy segítséget nyújtson a webes számítási feladatokra vonatkozó új követelmények specifikációinak létrehozásához.
A Microsoft cloud security benchmark hátterének további hátteréért tekintse meg a Microsoft kiberbiztonsági referenciaarchitektúrájának és a felhőbiztonsági teljesítménytesztnek a bemutatása című témakört.
Az alábbi táblázatban a teljes alapkonfiguráció vezérlői szerepelnek, ahol:
- A biztonsági vezérlők támogatottak voltak, de alapértelmezés szerint nem voltak engedélyezve
- Explicit útmutatás volt, amely tartalmazta az ügyfél részéről végrehajtandó műveletet
Terület | Vezérlő | Szolgáltatás | Útmutató összefoglalása |
---|---|---|---|
Hálózati biztonság | NS-1: Hálózati szegmentálási határok létrehozása | Virtuális hálózat integrációja | Biztosítson stabil IP-címet az internetcímek felé irányuló kimenő kommunikációhoz: A virtuális hálózat integrációs funkciójával stabil kimenő IP-címet biztosíthat. Ez lehetővé teszi a fogadó fél számára, hogy szükség esetén ip-cím alapján engedélyezze a listát. |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel | Azure Private Link | Az Azure Web Apps privát végpontjaival engedélyezheti, hogy a magánhálózaton található ügyfelek biztonságosan elérhessék az alkalmazásokat a Private Linken keresztül. A privát végpont az Azure-beli virtuális hálózat címtartományban lévő IP-címet használ. | |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel | Nyilvános hálózati hozzáférés letiltása | Tiltsa le a nyilvános hálózati hozzáférést szolgáltatásszintű IP ACL-szűrési szabályok vagy privát végpontok használatával, vagy a publicNetworkAccess tulajdonság Letiltva értékre állításával az Azure Resource Managerben. | |
NS-5: DDoS-védelem üzembe helyezése | Engedélyezze a DDoS Protectiont az App Service webalkalmazási tűzfalát futtató virtuális hálózaton. Az Azure DDoS-infrastruktúra (alapszintű) védelmet biztosít a hálózatán. A továbbfejlesztett intelligens DDoS-képességek érdekében engedélyezze az Azure DDoS Protectiont, amely megismeri a normál forgalmi mintákat, és képes észlelni a szokatlan viselkedést. Az Azure DDoS Protection két szinttel rendelkezik; Hálózatvédelem és IP-védelem. | ||
NS-6: Webalkalmazási tűzfal üzembe helyezése | Kerülje a WAF megkerülését az alkalmazások esetében. Győződjön meg arról, hogy a WAF nem megkerülhető, ha zárolja a hozzáférést csak a WAF-hez. Használja a hozzáférési korlátozások, a szolgáltatásvégpontok és a privát végpontok kombinációját. | ||
Identitáskezelés | IM-1: Központosított identitás- és hitelesítési rendszer használata | Microsoft Entra-hitelesítés szükséges az adatsík-hozzáféréshez | Hitelesített webalkalmazások esetén csak jól ismert identitásszolgáltatókkal hitelesítse és engedélyezze a felhasználói hozzáférést. |
Helyi hitelesítési módszerek az adatsík-hozzáféréshez | Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja a Microsoft Entra ID-t alapértelmezett hitelesítési módszerként az adatsík-hozzáférés szabályozásához. | ||
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése | Managed Identities | Ha lehetséges, a szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, így elkerülheti a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat. | |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján | Feltételes hozzáférés adatsíkhoz | Határozza meg a Microsoft Entra feltételes hozzáférésre vonatkozó feltételeket és feltételeket a számítási feladatban. | |
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása | A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban | Győződjön meg arról, hogy az alkalmazás titkos kulcsait és hitelesítő adatait biztonságos helyeken, például az Azure Key Vaultban tárolja a rendszer ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket. Az alkalmazás felügyelt identitásának használatával biztonságosan érheti el a Key Vaultban tárolt hitelesítő adatokat vagy titkos kulcsokat. | |
Emelt szintű hozzáférés | PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása | Ügyfélszéf | Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfél-zárolási mező használatával tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft egyes adathozzáférési kéréseit. |
Adatvédelem | DP-3: Bizalmas adatok titkosítása átvitel közben | Adatok átviteltitkosításban | A TLS/SSL-beállításokban konfigurált TLS v1.2 alapértelmezett minimális verziójának használata és kényszerítése az összes átvitt információ titkosításához. Győződjön meg arról is, hogy az összes HTTP-kapcsolatkérés HTTPS-ra lesz átirányítva. |
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban | Adatok inaktív titkosítással a CMK használatával | Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsok használatával történő titkosításra van szükség. Adatok engedélyezése és implementálása inaktív titkosításkor az ügyfél által felügyelt kulccsal ezekhez a szolgáltatásokhoz. | |
DP-6: Biztonságos kulcskezelési folyamat használata | Kulcskezelés az Azure Key Vaultban | Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. | |
DP-7: Biztonságos tanúsítványkezelési folyamat használata | Tanúsítványkezelés az Azure Key Vaultban | Az App Service ssl-/TLS-sel és más tanúsítványokkal konfigurálható, amelyek közvetlenül az App Service-ben konfigurálhatók, vagy a Key Vaultból hivatkozhatnak rá. Az összes tanúsítvány és titkos kulcs központi felügyeletének biztosítása érdekében tárolja az App Service által használt tanúsítványokat a Key Vaultban, ahelyett, hogy közvetlenül az App Service-ben helyezi üzembe őket. | |
Eszközkezelés | AM-2: Csak jóváhagyott szolgáltatások használata | ||
AM-4: Az eszközkezeléshez való hozzáférés korlátozása | Elkülönítheti a bizalmas információkat feldolgozó rendszereket. Ehhez használjon külön App Service-csomagokat vagy App Service-környezeteket, és fontolja meg a különböző előfizetések vagy felügyeleti csoportok használatát. | ||
Naplózás és fenyegetésészlelés | LT-1: Fenyegetésészlelési képességek engedélyezése | Microsoft Defender for Service / Termékajánlat | A Microsoft Defender for App Service használatával azonosíthatja az App Service-en futó alkalmazásokat célzó támadásokat. |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz | Azure-erőforrásnaplók | Engedélyezze az erőforrásnaplókat a webalkalmazásokhoz az App Service-ben. | |
Állapot- és biztonságirés-kezelés | PV-2: Biztonságos konfigurációk naplózása és kényszerítése | Kapcsolja ki a távoli hibakeresést, a távoli hibakeresés nem kapcsolható be éles számítási feladatok esetén, mivel ez több portot nyit meg a szolgáltatáson, ami növeli a támadási felületet. | |
PV-7: Rendszeres vörös csapatműveletek végrehajtása | Az előjegyzés behatolástesztelési szabályait követve végezzen rendszeres behatolástesztelést a webalkalmazásokon. | ||
Backup and recovery | BR-1: Rendszeres automatikus biztonsági mentések biztosítása | Azure Backup | Ha lehetséges, implementáljon állapot nélküli alkalmazástervezést, hogy egyszerűbbé tegye a helyreállítási és biztonsági mentési forgatókönyveket az App Service-ben. Ha valóban fenn kell tartania egy állapotalapú alkalmazást, engedélyezze a Biztonsági mentés és visszaállítás funkciót az App Service-ben, amely lehetővé teszi az alkalmazások biztonsági mentésének manuális vagy ütemezés szerinti létrehozását. |
DevOps-biztonság | DS-6: A számítási feladatok biztonságának érvényesítése a DevOps teljes életciklusa során | Kódot helyezhet üzembe az App Service-ben egy ellenőrzött és megbízható környezetből, például egy jól felügyelt és biztonságos DevOps-üzembehelyezési folyamatból. Így elkerülhető, hogy a nem verzióvezérelt és ellenőrzött kód rosszindulatú gazdagépről legyen üzembe helyezve. |