Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Spring Apps

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 3.0 do usługi Azure Spring Apps. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Spring Apps.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje , które nie mają zastosowania do usługi Azure Spring Apps, zostały wykluczone. Aby zobaczyć, jak usługa Azure Spring Apps całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Spring Apps.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Spring Apps, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Kontenery, sieć Web
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wdrażanie usługi Azure Spring Apps we własnej sieci wirtualnej podczas aprowizacji wystąpienia usługi. Następnie aplikacje i środowisko uruchomieniowe usługi w usłudze Azure Spring Apps będą odizolowane od publicznego Internetu.

Dokumentacja: wdrażanie usługi Azure Spring Apps w sieci wirtualnej

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci).

Należy pamiętać, że wiele portów i adresów musi być dostępnych dla zadań konserwacji. Zapoznaj się z dokumentacją.

Dokumentacja: Wymagania sieciowe usługi Azure Spring Apps

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Monitorowanie usługi Microsoft Defender for Cloud

Azure Policy wbudowane definicje — Microsoft.AppPlatform:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Spring Cloud powinna używać iniekcji sieci Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. Inspekcja, Wyłączone, Odmowa 1.1.0

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.

Dokumentacja: Dostęp do serwera konfiguracji i rejestru usług

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Dokumentacja: Używanie tożsamości zarządzanych dla aplikacji w usłudze Azure Spring Cloud

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.

Dokumentacja: Dostęp do serwera konfiguracji i rejestru usług

IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: w płaszczyźnie danych usługi Azure Spring Cloud znajdują się dwie części — aplikacje klienta i składniki zarządzane. W przypadku aplikacji klienta mogą uzyskiwać dostęp do Key Vault za pomocą tożsamości zarządzanej. W przypadku składników zarządzanych integracja Key Vault nie jest jeszcze obsługiwana.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: dostęp uprzywilejowany.

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Funkcje

Lokalne konta Administracja

Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać dostępem do wbudowanego serwera Spring Cloud Config Server i usługi Spring Cloud Service Registry w usłudze Azure Spring Apps. Wbudowana definicja roli i instrukcje zostały wyjaśnione w poniższym dokumencie.

Dokumentacja: Dostęp do serwera konfiguracji i rejestru usług

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.

Dokumentacja: Mechanizmy kontroli zabezpieczeń dla usługi Azure Spring Cloud Service

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona danych.

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Funkcje

Zapobieganie wyciekom/utracie danych

Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Szyfrowanie danych przesyłanych

Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Mechanizmy kontroli zabezpieczeń dla usługi Azure Spring Cloud Service

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Mechanizmy kontroli zabezpieczeń dla usługi Azure Spring Cloud Service

DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza cmK

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: mają zależność od obsługi AKS CMK Hobo. Zażądano wyjątku i zostało zatwierdzone w celu przedłużenia daty ukończenia obsługi klucza zarządzanego przez klienta w usłudze Azure Spring Cloud.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami na platformie Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Funkcje

Zarządzanie certyfikatami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Podczas włączania domeny niestandardowej dla aplikacji w usłudze Azure Spring Apps klient może przechowywać certyfikaty w usłudze Azure Key Vault i importować do usługi Azure Spring Apps w celu wymuszania protokołu Transport Layer Security (TLS) względem ruchu przychodzącego. Zapoznaj się z dokumentacją, aby uzyskać szczegółowe instrukcje.

Dokumentacja: Samouczek: mapuj istniejącą domenę niestandardową na usługę Azure Spring Cloud

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie zasobami.

AM-2: Używanie tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Usługa Microsoft Defender dla usług/oferta produktów

Opis: Usługa ma rozwiązanie usługi Microsoft Defender specyficzne dla oferty do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włączanie różnych typów dzienników zasobów w usłudze Azure Spring Apps, w tym dzienniki konsoli aplikacji klienta, dzienniki składników zarządzanych, dzienniki ruchu przychodzącego i dzienniki zadań kompilacji.

Aby uzyskać szczegółowe informacje, zobacz dokumentację.

Dokumentacja: Analizowanie dzienników i metryk przy użyciu ustawień diagnostycznych

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Następne kroki