Punkt odniesienia zabezpieczeń platformy Azure dla usługi App Service
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do App Service. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące App Service.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do App Service zostały wykluczone. Aby dowiedzieć się, jak App Service całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń App Service.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z wysokim wpływem App Service, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Obliczenia, Sieć Web |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: integracja Virtual Network jest domyślnie konfigurowana podczas korzystania ze środowisk App Service, ale należy skonfigurować je ręcznie podczas korzystania z publicznej oferty z wieloma dzierżawami.
Wskazówki dotyczące konfiguracji: upewnij się, że stabilny adres IP dla komunikacji wychodzącej do adresów internetowych: możesz zapewnić stabilny wychodzący adres IP przy użyciu funkcji integracji Virtual Network. Pozwala to osobie odbieranej na wyświetlanie listy dozwolonych na podstawie adresu IP, które powinny być potrzebne.
W przypadku korzystania z App Service w warstwie cenowej Izolowana, nazywanej również App Service Environment (ASE), można wdrożyć bezpośrednio w podsieci w ramach usługi Azure Virtual Network. Użyj sieciowych grup zabezpieczeń, aby zabezpieczyć środowisko Azure App Service przez blokowanie ruchu przychodzącego i wychodzącego do zasobów w sieci wirtualnej lub ograniczanie dostępu do aplikacji w App Service Environment.
W App Service wielodostępnej (aplikacja nie znajduje się w warstwie Izolowana) włącz aplikacjom dostęp do zasobów w systemie lub za pośrednictwem Virtual Network za pomocą funkcji integracji Virtual Network. Następnie możesz użyć sieciowych grup zabezpieczeń do kontrolowania ruchu wychodzącego z aplikacji. W przypadku korzystania z Virtual Network Integration można włączyć konfigurację "Route All", aby cały ruch wychodzący podlegał sieciowym grupom zabezpieczeń i trasom zdefiniowanym przez użytkownika w podsieci integracji. Ta funkcja może również służyć do blokowania ruchu wychodzącego do publicznych adresów z aplikacji. Virtual Network Integracji nie można użyć do zapewnienia dostępu przychodzącego do aplikacji.
W przypadku komunikacji z usługami platformy Azure często nie trzeba polegać na adresie IP i mechaniki, takiej jak punkty końcowe usługi, należy zamiast tego używać.
Uwaga: w przypadku środowisk App Service domyślnie sieciowe grupy zabezpieczeń zawierają niejawną regułę odmowy o najniższym priorytetzie i wymaga dodania jawnych reguł zezwalania. Dodaj reguły zezwalania dla sieciowej grupy zabezpieczeń na podstawie podejścia do sieci o najniższych uprawnieniach. Podstawowe maszyny wirtualne używane do hostowania App Service Environment nie są dostępne bezpośrednio, ponieważ znajdują się w subskrypcji zarządzanej przez firmę Microsoft.
W przypadku korzystania z funkcji integracji Virtual Network z sieciami wirtualnymi w tym samym regionie użyj sieciowych grup zabezpieczeń i tabel tras z trasami zdefiniowanymi przez użytkownika. Trasy zdefiniowane przez użytkownika można umieścić w podsieci integracji w celu wysyłania ruchu wychodzącego zgodnie z oczekiwaniami.
Dokumentacja: Integracja aplikacji z siecią wirtualną platformy Azure
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Obsługa sieciowej grupy zabezpieczeń jest dostępna dla wszystkich klientów korzystających ze środowisk App Service, ale jest dostępna tylko w zintegrowanych aplikacjach sieci wirtualnej dla klientów korzystających z publicznej oferty z wieloma dzierżawami.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: App Service Environment sieci
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj prywatnych punktów końcowych dla usługi Azure Web Apps, aby umożliwić klientom znajdującym się w sieci prywatnej bezpieczny dostęp do aplikacji za pośrednictwem Private Link. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej platformy Azure. Ruch sieciowy między klientem w sieci prywatnej a aplikacją internetową przechodzi przez sieć wirtualną i Private Link w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu.
Uwaga: prywatny punkt końcowy jest używany tylko dla przepływów przychodzących do aplikacji internetowej. Przepływy wychodzące nie będą używać tego prywatnego punktu końcowego. Przepływy wychodzące można wstrzyknąć do sieci w innej podsieci za pośrednictwem funkcji integracji z siecią wirtualną. Użycie prywatnych punktów końcowych dla usług na końcu odbierania App Service ruchu pozwala uniknąć wystąpienia protokołu SNAT i zapewnia stabilny zakres wychodzących adresów IP.
Dodatkowe wskazówki: w przypadku uruchamiania kontenerów na App Service przechowywanych w usłudze Azure Container Registry (ACR) upewnij się, że te obrazy są ściągane przez sieć prywatną. Zrób to, konfigurując prywatny punkt końcowy w usłudze ACR przechowując te obrazy w połączeniu z ustawieniem aplikacji "WEBSITE_PULL_IMAGE_OVER_VNET" w aplikacji internetowej.
Dokumentacja: Używanie prywatnych punktów końcowych dla aplikacji internetowej platformy Azure
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguł filtrowania listy ACL adresów IP na poziomie usługi lub prywatnych punktów końcowych lub przez ustawienie publicNetworkAccess właściwości na wyłączone w usłudze ARM.
Dokumentacja: Konfigurowanie ograniczeń dostępu Azure App Service
NS-5: Wdrażanie ochrony przed atakami DDOS
Inne wskazówki dotyczące NS-5
Włącz usługę DDOS Protection w warstwie Standardowa w sieci wirtualnej hostowania Web Application Firewall App Service. Platforma Azure zapewnia podstawową ochronę przed atakami DDoS w sieci, którą można ulepszyć dzięki inteligentnym funkcjom DDoS Standard, które uczą się o normalnych wzorcach ruchu i mogą wykrywać nietypowe zachowanie. Usługa DDoS w warstwie Standardowa ma zastosowanie do Virtual Network, dlatego musi być skonfigurowana dla zasobu sieciowego przed aplikacją, na przykład Application Gateway lub urządzenia WUS.
NS-6: Wdrażanie zapory aplikacji internetowej
Inne wskazówki dotyczące NS-6
Unikaj pomijania zapory aplikacji internetowych dla aplikacji. Upewnij się, że zapora aplikacji internetowej nie może zostać pominięta przez zablokowanie dostępu tylko do zapory aplikacji internetowej. Użyj kombinacji ograniczeń dostępu, punktów końcowych usługi i prywatnych punktów końcowych.
Ponadto chroń App Service Environment, rozsyłając ruch przez Web Application Firewall (WAF) z włączoną Azure Application Gateway lub usługę Azure Front Door.
W przypadku oferty z wieloma dzierżawami zabezpiecz ruch przychodzący do aplikacji za pomocą następujących funkcji:
- Ograniczenia dostępu: seria reguł zezwalania lub odmowy kontrolujących dostęp przychodzący
- Punkty końcowe usługi: może blokować ruch przychodzący spoza określonych sieci wirtualnych lub podsieci
- Prywatne punkty końcowe: uwidaczniaj aplikację Virtual Network za pomocą prywatnego adresu IP. Po włączeniu prywatnych punktów końcowych w aplikacji nie jest już dostępna z Internetu
Rozważ zaimplementowanie Azure Firewall, aby centralnie tworzyć, wymuszać i rejestrować zasady aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych. Azure Firewall używa statycznego publicznego adresu IP dla zasobów sieci wirtualnej, co umożliwia zewnętrznym zaporom identyfikowanie ruchu pochodzącego z sieci wirtualnej.
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W przypadku uwierzytelnionych aplikacji internetowych użyj tylko dobrze znanych dostawców tożsamości do uwierzytelniania i autoryzacji dostępu użytkowników. W przypadku, gdy aplikacja powinna być dostępna tylko dla użytkowników twojej organizacji lub w przeciwnym razie wszyscy użytkownicy korzystają z usługi Azure Active Directory (Azure AD), skonfiguruj Azure AD jako domyślną metodę uwierzytelniania w celu kontrolowania dostępu do płaszczyzny danych.
Dokumentacja: Uwierzytelnianie i autoryzacja w Azure App Service i Azure Functions
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: ogranicz użycie lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: Uwierzytelnianie i autoryzacja w Azure App Service i Azure Functions
Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: używaj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, gdy jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Typowym scenariuszem użycia tożsamości zarządzanej z App Service jest uzyskanie dostępu do innych usług PaaS platformy Azure, takich jak Azure SQL Database, Azure Storage lub Key Vault.
Dokumentacja: Jak używać tożsamości zarządzanych na potrzeby App Service i Azure Functions
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Dodatkowe wskazówki: Mimo że jednostki usługi są obsługiwane przez usługę jako wzorzec uwierzytelniania, zalecamy użycie tożsamości zarządzanych, jeśli jest to możliwe.
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Web:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| App Service aplikacje powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
Im-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia aplikacji są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu lub konfiguracji. Użyj tożsamości zarządzanej w aplikacji, aby uzyskać dostęp do poświadczeń lub wpisów tajnych przechowywanych w Key Vault w bezpieczny sposób.
Dokumentacja: używanie odwołań Key Vault do App Service i Azure Functions
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do Twoich danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Zaimplementuj skaner poświadczeń w potoku kompilacji, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Chociaż funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla App Service, można zmniejszyć ryzyko eksfiltracji danych z sieci wirtualnej, usuwając wszystkie reguły, w których obiekt docelowy używa tagu dla Internetu lub usług platformy Azure.
Firma Microsoft zarządza podstawową infrastrukturą dla App Service i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych.
Użyj tagów, aby pomóc w śledzeniu App Service zasobów, które przechowują lub przetwarzają poufne informacje.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Dane w szyfrowaniu tranzytowym
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Używanie i wymuszanie domyślnej minimalnej wersji protokołu TLS w wersji 1.2 skonfigurowanej w ustawieniach protokołu TLS/SSL do szyfrowania wszystkich informacji przesyłanych. Upewnij się również, że wszystkie żądania połączenia HTTP są przekierowywane do protokołu HTTPS.
Dokumentacja: Dodawanie certyfikatu TLS/SSL w Azure App Service
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Web:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| App Service aplikacje powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: zawartość witryny sieci Web w aplikacji App Service, takiej jak pliki, są przechowywane w usłudze Azure Storage, co powoduje automatyczne szyfrowanie zawartości magazynowanych. Wybierz przechowywanie wpisów tajnych aplikacji w Key Vault i pobieranie ich w czasie wykonywania.
Wpisy tajne dostarczone przez klienta są szyfrowane podczas przechowywania w bazach danych konfiguracji App Service.
Należy pamiętać, że chociaż lokalnie dołączone dyski mogą być używane opcjonalnie przez witryny internetowe jako magazyn tymczasowy (na przykład D:\local i %TMP%), są one szyfrowane tylko w spoczynku w publicznej App Service wielodostępnej oferty, w której można używać jednostki SKU Pv3. W przypadku starszych publicznych jednostek skalowania z wieloma dzierżawami, w przypadku których jednostka SKU Pv3 jest niedostępna, klient musi utworzyć nową grupę zasobów i ponownie wdrożyć tam swoje zasoby.
Ponadto klient ma możliwość uruchomienia aplikacji w App Service bezpośrednio z pakietu ZIP. Aby uzyskać więcej informacji, odwiedź stronę: Uruchamianie aplikacji w Azure App Service bezpośrednio z pakietu ZIP.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Uwaga: zawartość witryny sieci Web w aplikacji App Service, takiej jak pliki, jest przechowywana w usłudze Azure Storage, która automatycznie szyfruje zawartość magazynowana. Wybierz przechowywanie wpisów tajnych aplikacji w Key Vault i pobieranie ich w czasie wykonywania.
Wpisy tajne dostarczone przez klienta są szyfrowane podczas przechowywania w bazach danych konfiguracji App Service.
Należy pamiętać, że chociaż lokalnie dołączone dyski mogą być używane opcjonalnie przez witryny sieci Web jako magazyn tymczasowy (na przykład D:\local i %TMP%), nie są szyfrowane podczas magazynowania.
Dokumentacja: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Dokumentacja: używanie odwołań Key Vault do App Service i Azure Functions
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: App Service można skonfigurować przy użyciu protokołu SSL/TLS i innych certyfikatów, które można skonfigurować bezpośrednio na App Service lub przywoływuje się z Key Vault. Aby zapewnić centralne zarządzanie wszystkimi certyfikatami i wpisami tajnymi, należy przechowywać wszystkie certyfikaty używane przez App Service w Key Vault zamiast wdrażać je lokalnie na App Service bezpośrednio. Po skonfigurowaniu tego App Service automatycznie pobierze najnowszy certyfikat z usługi Azure Key Vault. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niepewna kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu.
Dokumentacja: Dodawanie certyfikatu TLS/SSL w Azure App Service
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używaj tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje] efekty, aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Uwaga: zdefiniuj i zaimplementuj standardowe konfiguracje zabezpieczeń dla App Service wdrożonych aplikacji przy użyciu Azure Policy. Użyj wbudowanych definicji Azure Policy, a także Azure Policy aliasów w przestrzeni nazw "Microsoft.Web", aby utworzyć niestandardowe zasady do generowania alertów, inspekcji i wymuszania konfiguracji systemu. Opracowywanie procesu i potoku do zarządzania wyjątkami zasad.
Dokumentacja: mechanizmy kontroli zgodności z przepisami Azure Policy dla Azure App Service
AM-4: Ograniczanie dostępu do zarządzania zasobami
Inne wskazówki dotyczące am-4
Izolowanie systemów przetwarzających poufne informacje. W tym celu należy użyć oddzielnych planów App Service lub środowisk App Service i rozważyć użycie różnych subskrypcji lub grup zarządzania.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktu
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender dla App Service, aby zidentyfikować ataki ukierunkowane na aplikacje działające w App Service. Po włączeniu Microsoft Defender dla App Service natychmiast skorzystasz z następujących usług oferowanych przez ten plan usługi Defender:
Bezpieczeństwo: usługa Defender dla App Service ocenia zasoby objęte planem App Service i generuje zalecenia dotyczące zabezpieczeń na podstawie wyników. Aby ograniczyć App Service zasobów, skorzystaj ze szczegółowych instrukcji w tych zaleceniach.
Wykryj: usługa Defender for App Service wykrywa wiele zagrożeń dla zasobów App Service przez monitorowanie wystąpienia maszyny wirtualnej, w którym jest uruchomiona App Service oraz interfejs zarządzania, żądania i odpowiedzi wysyłane do i z aplikacji App Service, podstawowych piaskownic i maszyn wirtualnych oraz App Service dzienniki wewnętrzne.
Dokumentacja: Ochrona aplikacji internetowych i interfejsów API
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla aplikacji internetowych w App Service.
Dokumentacja: Włączanie rejestrowania diagnostycznego dla aplikacji w Azure App Service
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-2: Inspekcja i wymuszanie bezpiecznych konfiguracji
Inne wskazówki dotyczące PV-2
Wyłącz zdalne debugowanie, zdalne debugowanie nie może być włączone dla obciążeń produkcyjnych, ponieważ spowoduje to otwarcie dodatkowych portów w usłudze, co zwiększa obszar narażony na ataki.
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Web:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączone "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 przestarzałe |
PV-7: Prowadzenie regularnych operacji czerwonego zespołu
Inne wskazówki dotyczące PV-7
Przeprowadź regularne testy penetracyjne w aplikacjach internetowych zgodnie z regułami testowania penetracyjnego zaangażowania.
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Jeśli to możliwe, zaimplementuj projekt aplikacji bezstanowej, aby uprościć scenariusze odzyskiwania i tworzenia kopii zapasowych przy użyciu App Service.
Jeśli naprawdę musisz zachować aplikację stanową, włącz funkcję Tworzenie i przywracanie kopii zapasowych w App Service, co umożliwia łatwe tworzenie kopii zapasowych aplikacji ręcznie lub zgodnie z harmonogramem. Kopie zapasowe można skonfigurować do przechowywania maksymalnie przez czas nieokreślony. Aplikację można przywrócić do migawki poprzedniego stanu, zastępując istniejącą aplikację lub przywracając do innej aplikacji. Upewnij się, że regularne i automatyczne tworzenie kopii zapasowych występuje z częstotliwością zdefiniowaną przez zasady organizacji.
Uwaga: App Service może utworzyć kopię zapasową następujących informacji na koncie usługi Azure Storage i kontenerze, którego aplikacja została skonfigurowana do użycia:
- Konfiguracja aplikacji
- Zawartość pliku
- Baza danych połączona z aplikacją
Dokumentacja: Tworzenie kopii zapasowej aplikacji na platformie Azure
Natywne możliwości tworzenia kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zabezpieczenia usługi DevOps
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia metodyki DevOps.
DS-6: Wymuszanie zabezpieczeń obciążenia w całym cyklu życia metodyki DevOps
Inne wskazówki dotyczące ds-6
Wdrażanie kodu w celu App Service z kontrolowanego i zaufanego środowiska, takiego jak dobrze zarządzany i zabezpieczony potok wdrażania DevOps. Pozwala to uniknąć kodu, który nie był kontrolowany i weryfikowany do wdrożenia ze złośliwego hosta.