Garis besar keamanan Azure untuk App Service

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 3.0 ke App Service. Azure Security Benchmark memberikan rekomendasi tentang cara mengamankan solusi cloud di Azure. Konten-nya dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok ukur Keamanan Azure dan panduan terkait yang berlaku untuk App Service.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk App Service telah dikecualikan. Untuk melihat bagaimana App Service memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan App Service lengkap.

Profil keamanan

Profil keamanan merangkum perilaku App Service berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk Komputasi, Web
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan True
Menyimpan konten pelanggan saat tidak aktif True

Network security

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: integrasi Virtual Network dikonfigurasi secara default saat menggunakan lingkungan App Service tetapi harus dikonfigurasi secara manual saat menggunakan penawaran multi-penyewa publik.

Panduan Konfigurasi: Pastikan IP yang stabil untuk komunikasi keluar ke alamat internet: Anda dapat menyediakan IP keluar yang stabil dengan menggunakan fitur integrasi Virtual Network. Ini memungkinkan pihak penerima untuk mengizinkan daftar berdasarkan IP, jika diperlukan.

Saat menggunakan App Service di tingkat harga Terisolasi, juga disebut lingkungan App Service (ASE), Anda dapat menyebarkan langsung ke subnet dalam Virtual Network Azure Anda. Gunakan grup keamanan jaringan untuk mengamankan Lingkungan Azure App Service Anda dengan memblokir lalu lintas masuk dan keluar ke sumber daya di jaringan virtual Anda, atau untuk membatasi akses ke aplikasi di Lingkungan App Service.

Di App Service multi-penyewa (aplikasi yang tidak berada di tingkat Terisolasi), memungkinkan aplikasi Anda mengakses sumber daya di atau melalui Virtual Network dengan fitur Integrasi Virtual Network. Anda kemudian dapat menggunakan grup keamanan jaringan untuk mengontrol lalu lintas keluar dari aplikasi Anda. Saat menggunakan integrasi Virtual Network, Anda dapat mengaktifkan konfigurasi 'Rutekan Semua' untuk membuat semua lalu lintas keluar tunduk pada grup keamanan jaringan dan rute yang ditentukan pengguna pada subnet integrasi. Fitur ini juga dapat digunakan untuk memblokir lalu lintas keluar ke alamat publik dari aplikasi. Integrasi Jaringan Virtual tidak dapat digunakan untuk menyediakan akses masuk ke aplikasi.

Untuk komunikasi terhadap Layanan Azure sering kali tidak perlu bergantung pada alamat IP dan mekanisme seperti Titik Akhir Layanan harus digunakan sebagai gantinya.

Catatan: Untuk lingkungan App Service, secara default, kelompok keamanan jaringan menyertakan aturan penolakan implisit pada prioritas terendah dan mengharuskan Anda menambahkan aturan izin eksplisit. Tambahkan aturan untuk grup keamanan jaringan Anda berdasarkan pendekatan jaringan yang paling tidak istimewa. Mesin virtual yang mendasarinya yang digunakan untuk meng-host Lingkungan App Service tidak dapat diakses secara langsung karena mereka berada dalam langganan yang dikelola Microsoft.

Saat menggunakan fitur Integrasi Jaringan Virtual dengan jaringan virtual di wilayah yang sama, gunakan grup keamanan jaringan dan tabel rute dengan rute yang ditentukan pengguna. Rute yang ditentukan pengguna dapat ditempatkan pada subnet integrasi untuk mengirim lalu lintas keluar sesuai tujuan Anda.

Referensi: Mengintegrasikan aplikasi Anda dengan jaringan virtual Azure

Dukungan Kelompok Keamanan Jaringan

Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Dukungan Kelompok Keamanan Jaringan tersedia untuk semua pelanggan yang menggunakan lingkungan App Service tetapi hanya tersedia di aplikasi terintegrasi VNet untuk pelanggan yang menggunakan penawaran multi-penyewa publik.

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: jaringan lingkungan App Service

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan titik akhir privat untuk Web Apps Azure Anda untuk memungkinkan klien yang terletak di jaringan privat Anda mengakses aplikasi dengan aman melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat Azure VNet Anda. Lalu lintas antara klien di jaringan privat Anda dan Aplikasi Web melintasi VNet dan Private Link di jaringan backbone Microsoft, menghilangkan paparan dari Internet publik.

Catatan: Titik Akhir Privat hanya digunakan untuk alur masuk ke Aplikasi Web Anda. Alur keluar tidak akan menggunakan Titik Akhir Privat ini. Anda dapat menyuntikkan aliran keluar ke jaringan Anda di subnet yang berbeda melalui fitur integrasi VNet. Penggunaan titik akhir privat untuk layanan pada akhir penerimaan lalu lintas App Service menghindari SNAT terjadi dan menyediakan rentang IP keluar yang stabil.

Panduan Tambahan: Jika menjalankan kontainer di App Service yang disimpan di Azure Container Registry (ACR) pastikan gambar tersebut ditarik melalui jaringan privat. Lakukan ini dengan mengonfigurasi titik akhir privat pada ACR yang menyimpan gambar tersebut bersama dengan mengatur pengaturan aplikasi "WEBSITE_PULL_IMAGE_OVER_VNET" di aplikasi web Anda.

Referensi: Menggunakan Titik Akhir Privat untuk Azure Web App

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Nonaktifkan Akses Jaringan Publik' menggunakan aturan pemfilteran IP ACL tingkat layanan atau titik akhir privat atau dengan mengatur publicNetworkAccess properti ke dinonaktifkan di ARM.

Referensi: Menyiapkan pembatasan akses Azure App Service

NS-5: Menyebarkan perlindungan DDOS

Panduan lain untuk NS-5

Aktifkan DDOS Protection Standard di jaringan virtual yang menghosting Web Application Firewall App Service Anda. Azure memberikan perlindungan DDoS Basic pada jaringannya, yang dapat ditingkatkan dengan kemampuan DDoS Standard cerdas yang mempelajari tentang pola lalu lintas normal dan dapat mendeteksi perilaku yang tidak biasa. DDoS Standard berlaku untuk Virtual Network sehingga harus dikonfigurasi untuk sumber daya jaringan di depan aplikasi, seperti Application Gateway atau NVA.

NS-6: Menyebarkan firewall aplikasi web

Panduan lain untuk NS-6

Hindari WAF dilewati untuk aplikasi Anda. Pastikan WAF tidak dapat dilewati dengan mengunci akses hanya ke WAF. Gunakan kombinasi Pembatasan Akses, Titik Akhir Layanan, dan Titik Akhir Privat.

Selain itu, lindungi Lingkungan App Service dengan merutekan lalu lintas melalui Web Application Firewall (WAF) yang diaktifkan Azure Application Gateway atau Azure Front Door.

Untuk penawaran multi-penyewa, amankan lalu lintas masuk ke aplikasi Anda dengan:

  • Pembatasan Akses: serangkaian aturan izinkan atau tolak yang mengontrol akses masuk
  • Titik Akhir Layanan: dapat menolak lalu lintas masuk dari luar jaringan virtual atau subnet tertentu
  • Titik Akhir Privat: mengekspos aplikasi Anda ke Virtual Network Anda dengan alamat IP privat. Dengan Titik Akhir Pribadi diaktifkan di aplikasi Anda, alamat IP tidak lagi dapat diakses internet

Pertimbangkan untuk menerapkan Azure Firewall untuk membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual. Azure Firewall memberikan alamat IP publik statis untuk sumber daya jaringan virtual Anda, memungkinkan firewall luar mengidentifikasi lalu lintas yang berasal dari jaringan virtual Anda.

Manajemen Identitas

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Untuk aplikasi web terautentikasi, hanya gunakan penyedia identitas mapan terkenal untuk mengautentikasi dan mengotorisasi akses pengguna. Jika aplikasi Anda hanya boleh diakses oleh pengguna organisasi Anda sendiri, atau jika tidak, pengguna Anda semuanya menggunakan Azure Active Directory (Azure AD), konfigurasikan Azure AD sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Autentikasi dan otorisasi dalam Azure App Service dan Azure Functions

Metode Autentikasi Lokal untuk Akses Data Plane

Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.

Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Autentikasi dan otorisasi dalam Azure App Service dan Azure Functions

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Skenario umum untuk menggunakan identitas terkelola dengan App Service adalah mengakses layanan Azure PaaS lainnya seperti Azure SQL Database, Azure Storage, atau Key Vault.

Referensi: Cara menggunakan identitas terkelola untuk App Service dan Azure Functions

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Tambahan: Meskipun perwakilan layanan didukung oleh layanan sebagai pola untuk autentikasi, sebaiknya gunakan Identitas Terkelola jika memungkinkan sebagai gantinya.

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyar Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Informasi Masuk Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial aplikasi disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi. Gunakan identitas terkelola di aplikasi Anda untuk mengakses kredensial, atau rahasia yang disimpan dalam Key Vault dengan cara yang aman.

Referensi: Gunakan referensi Key Vault untuk App Service dan Azure Functions

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Akses istimewa.

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.

Perlindungan data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Terapkan Credential Scanner di alur build Anda untuk mengidentifikasi kredensial dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Meskipun fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk App Service, Anda dapat mengurangi risiko penyelundupan data dari jaringan virtual dengan menghapus semua aturan di mana tujuan menggunakan 'tag' untuk layanan Internet atau Azure.

Microsoft mengelola infrastruktur yang mendasari untuk Azure Backup dan telah menerapkan kontrol ketat guna mencegah kehilangan atau pemaparan data Anda.

Gunakan tag untuk membantu melacak App Service sumber daya yang menyimpan atau memproses informasi sensitif.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan dan terapkan versi minimum default TLS v1.2, yang dikonfigurasi dalam pengaturan TLS/SSL, untuk mengenkripsi semua informasi saat transit. Pastikan juga bahwa semua permintaan koneksi HTTP dialihkan ke HTTPS.

Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
FTPS hanya diwajibkan di Aplikasi API Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
hanya FTPS yang diperlukan di Aplikasi Fungsi Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
FTPS harus diperlukan di Aplikasi Web Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi API Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Konten situs web dalam aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya pada waktu proses.

Rahasia yang disediakan pelanggan dienkripsi saat tidak digunakan saat disimpan dalam database konfigurasi App Service.

Perhatikan bahwa meskipun disk yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara, (misalnya, D:\local dan %TMP%), disk tersebut tidak dienkripsi saat tidak digunakan.

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Catatan: Konten situs web dalam aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya pada waktu proses.

Rahasia yang disediakan pelanggan dienkripsi saat tidak digunakan saat disimpan dalam database konfigurasi App Service.

Perhatikan bahwa meskipun disk yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara, (misalnya, D:\local dan %TMP%), disk tersebut tidak dienkripsi saat tidak digunakan.

Referensi: Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Gunakan referensi Key Vault untuk App Service dan Azure Functions

DP-7: Menggunakan proses manajemen sertifikat yang aman

Fitur

Manajemen Sertifikat di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: App Service dapat dikonfigurasi dengan SSL/TLS dan sertifikat lainnya, yang dapat dikonfigurasi langsung pada App Service atau dirujuk dari Key Vault. Untuk memastikan manajemen pusat semua sertifikat dan rahasia, simpan sertifikat apa pun yang digunakan oleh App Service di Key Vault alih-alih menyebarkannya secara lokal di App Service secara langsung. Ketika ini dikonfigurasi App Service akan secara otomatis mengunduh sertifikat terbaru dari Azure Key Vault. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault berdasarkan jadwal yang ditentukan atau ketika ada sertifikat kedaluwarsa.

Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service

Manajemen Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.

Catatan: Tentukan dan terapkan konfigurasi keamanan standar untuk aplikasi App Service yang disebarkan dengan Azure Policy. Gunakan definisi Azure Policy bawaan serta alias Azure Policy di namespace layanan "Microsoft.Web" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menerapkan konfigurasi sistem. Sebarkan proses dan alur untuk mengelola pengecualian kebijakan.

Referensi: kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure App Service

AM-4: Membatasi akses ke manajemen aset

Panduan lain untuk AM-4

Mengisolasi sistem yang memproses informasi sensitif. Untuk melakukannya, gunakan Paket App Service terpisah atau Lingkungan App Service dan pertimbangkan penggunaan langganan atau grup manajemen yang berbeda.

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Pertahanan Microsoft untuk Layanan / Penawaran Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk App Service untuk mengidentifikasi serangan yang menargetkan aplikasi yang berjalan melalui App Service. Saat mengaktifkan Microsoft Defender for App Service, Anda segera mendapatkan keuntungan dari layanan berikut yang ditawarkan oleh paket Defender ini:

  • Aman: Defender for App Service menilai sumber daya yang tercakup dalam rencana App Service Anda dan menghasilkan rekomendasi keamanan berdasarkan temuannya. Gunakan petunjuk terperinci dalam rekomendasi ini untuk memperkuat sumber daya App Service Anda.

  • Deteksi: Defender for App Service mendeteksi banyak ancaman terhadap sumber daya App Service Anda dengan memantau instans VM tempat App Service Anda berjalan dan antarmuka manajemennya, permintaan dan respons yang dikirim ke dan dari aplikasi App Service Anda, kotak pasir dan VM yang mendasar, dan App Service log internal.

Referensi: Lindungi aplikasi web dan API Anda

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk aplikasi web Anda di App Service.

Referensi: Mengaktifkan pembuatan log diagnostik untuk aplikasi di Azure App Service

Manajemen postur dan kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen postur dan kerentanan.

PV-2: Mengaudit dan menerapkan konfigurasi yang aman

Panduan lain untuk PV-2

Nonaktifkan penelusuran kesalahan jarak jauh, penelusuran kesalahan jarak jauh tidak boleh diaktifkan untuk beban kerja produksi karena ini membuka port tambahan pada layanan yang meningkatkan permukaan serangan.

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' disetel ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.1
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0

PV-7: Menjalankan operasi tim merah reguler

Panduan lain untuk PV-7

Lakukan uji penetrasi rutin pada aplikasi web Anda dengan mengikuti aturan pengujian penetrasi keterlibatan.

Cadangan dan pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika memungkinkan, terapkan desain aplikasi stateless untuk menyederhanakan skenario pemulihan dan pencadangan dengan App Service.

Jika Anda benar-benar perlu mempertahankan aplikasi stateful, aktifkan fitur Pencadangan dan Pemulihan di App Service yang memungkinkan Anda dengan mudah membuat cadangan aplikasi secara manual atau sesuai jadwal. Anda dapat mengonfigurasi cadangan untuk disimpan hingga waktu yang tidak terbatas. Anda dapat memulihkan aplikasi ke rekam jepret status sebelumnya dengan menimpa aplikasi lama atau memulihkan ke aplikasi lain. Pastikan bahwa pencadangan reguler dan otomatis terjadi pada frekuensi seperti yang ditentukan oleh kebijakan organisasi Anda.

Catatan: App Service dapat mencadangkan informasi berikut ke akun penyimpanan Azure dan kontainer, yang telah Anda konfigurasi untuk digunakan aplikasi Anda:

  • Konfigurasi aplikasi
  • Konten file
  • Database yang terhubung ke aplikasi Anda

Referensi: Mencadangkan aplikasi Anda di Azure

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Keamanan DevOps

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan DevOps.

DS-6: Menegakkan keamanan beban kerja di seluruh siklus hidup DevOps

Panduan lain untuk DS-6

Sebarkan kode untuk App Service dari lingkungan yang terkontrol dan tepercaya, seperti alur penyebaran DevOps yang dikelola dengan baik dan aman. Ini menghindari kode yang tidak dikontrol versi dan diverifikasi untuk disebarkan dari host berbahaya.

Langkah berikutnya