Azure-beveiligingsbasislijn voor Functions
Met deze beveiligingsbasislijn worden richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toegepast op Functions. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Functions.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Functions zijn uitgesloten. Als u wilt zien hoe Functions volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor De beveiligingsbasislijn van Functions.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Functions, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Compute, Web |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
Opmerking: netwerkfuncties worden beschikbaar gesteld door de service, maar moeten worden geconfigureerd voor de toepassing. Standaard is openbare netwerktoegang toegestaan.
Naslaginformatie: netwerkopties Azure Functions
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG's) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het inkomende verkeer weigeren, maar verkeer van virtuele netwerken en Azure Load Balancers toestaan.
Naslaginformatie: netwerkopties Azure Functions
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: netwerkopties Azure Functions
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Functions kunnen worden geconfigureerd met privé-eindpunten, maar er is momenteel geen enkele wisselknop voor het uitschakelen van openbare netwerktoegang zonder het configureren van privé-eindpunten.
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: eindpunten die eigendom zijn van de klant kunnen worden geconfigureerd om Azure AD verificatievereisten te vereisen. Door het systeem geleverde eindpunten voor implementatiebewerkingen en geavanceerde ontwikkelhulpprogramma's ondersteunen Azure AD, maar hebben standaard de mogelijkheid om publicatiereferenties te gebruiken. Deze publicatiereferenties kunnen worden uitgeschakeld. Sommige eindpunten van het gegevensvlak in de app kunnen worden geopend via beheersleutels die zijn geconfigureerd in de Functions-host. Deze kunnen op dit moment niet worden geconfigureerd met Azure AD vereisten.
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Implementatiereferenties configureren - basisverificatie uitschakelen
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: implementatiereferenties worden standaard gemaakt, maar kunnen worden uitgeschakeld. Sommige bewerkingen die door de runtime van de toepassing worden weergegeven, kunnen worden uitgevoerd met behulp van een beheersleutel, die momenteel niet kan worden uitgeschakeld. Deze sleutel kan worden opgeslagen in Azure Key Vault en kan op elk gewenst moment opnieuw worden gegenereerd. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Basisverificatie uitschakelen
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Naslaginformatie: Beheerde identiteiten gebruiken voor App Service en Azure Functions
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Web:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten beheerde identiteit gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Voor eindpunten van het gegevensvlak die niet zijn gedefinieerd door de toepassing, moet voorwaardelijke toegang worden geconfigureerd voor Azure Service Management.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: De enige gegevensvlakacties die gebruikmaken van Azure RBAC zijn de Kudu-/SCM-/implementatie-eindpunten. Deze vereisen machtigingen voor de Microsoft.Web/sites/publish/Action bewerking. Eindpunten die door de klanttoepassing zelf worden weergegeven, worden niet gedekt door Azure RBAC.
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Naslaginformatie: RBAC-machtigingen vereist voor toegang tot Kudu
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: functie-apps worden standaard gemaakt om TLS 1.2 als minimale versie te ondersteunen, maar een app kan worden geconfigureerd met een lagere versie via een configuratie-instelling. HTTPS is standaard niet vereist voor binnenkomende aanvragen, maar dit kan ook worden ingesteld via een configuratie-instelling, waarna elke HTTP-aanvraag automatisch wordt omgeleid om HTTPS te gebruiken.
Configuratierichtlijnen: veilige overdracht inschakelen in services waarbij een ingebouwde versleutelingsfunctie voor gegevensoverdracht is ingebouwd. Dwing HTTPS af op alle webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Verouderde versies zoals SSL 3.0 en TLS v1.0 moeten worden uitgeschakeld. Voor extern beheer van Virtual Machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Naslaginformatie: TLS/SSL-certificaten toevoegen en beheren in Azure App Service
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Web:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij het onderdeel: Azure Functions ondersteunt deze functie niet rechtstreeks, maar een toepassing kan worden geconfigureerd om gebruik te maken van services die dat wel doen, in plaats van mogelijke gegevensopslag in Functions. Azure Files kan worden gekoppeld als het bestandssysteem, kunnen alle app-instellingen, inclusief geheimen, worden opgeslagen in Azure Key Vault en kunnen implementatieopties zoals run-from-package inhoud ophalen uit Azure Blob Storage.
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Uw toepassingsgegevens-at-rest versleutelen met behulp van door de klant beheerde sleutels
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in het workload-, service- of toepassingsniveau, moet u de aanbevolen procedures voor sleutelbeheer volgen: gebruik een sleutelhiërarchie om een afzonderlijke dek (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels worden geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer het certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: Een TLS/SSL-certificaat toevoegen in Azure App Service
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Defender voor App Service bevat Azure Functions. Als deze oplossing is ingeschakeld, worden functie-apps onder het activeringsbereik opgenomen.
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw beheervlak te beheren. Wanneer u een waarschuwing krijgt van Microsoft Defender voor Key Vault, moet u de waarschuwing onderzoeken en erop reageren.
Naslaginformatie: Defender voor App Service
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft waarmee aanvragen naar een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Azure Functions bewaken met Azure Monitor-logboeken
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: een functie voor het maken van back-ups van een toepassing is beschikbaar als deze wordt gehost op een Standard-, Premium- of Isolated App Service-abonnement. Deze functie maakt geen gebruik van Azure Backup en bevat geen gebeurtenisbronnen of extern gekoppelde opslag. Zie /azure/app-service/manage-backup voor meer informatie.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: er is een back-upfunctie beschikbaar voor apps die worden uitgevoerd op Standard-, Premium- en Isolated App Service-abonnementen. Dit omvat niet het maken van back-ups van gebeurtenisbronnen of extern geleverde opslag.
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: een back-up maken van uw app en deze herstellen in Azure App Service
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen