Базовые показатели безопасности Azure для Функций
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Функциям. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Функциям.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции , неприменимые к Функциям, были исключены. Сведения о том, как Функции полностью соответствуют эталону безопасности облака Майкрософт, см. в полном файле сопоставления базовых показателей безопасности функций.
Профиль безопасности
Профиль безопасности обобщает поведение Функций с высокой степенью влияния, что может привести к повышению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Вычисления, Интернет |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните службу в виртуальной сети. Назначьте ресурсу частные IP-адреса (если это применимо), если нет веской причины назначать общедоступные IP-адреса напрямую ресурсу.
Примечание. Сетевые функции предоставляются службой, но их необходимо настроить для приложения. По умолчанию доступ к общедоступной сети разрешен.
Справочные материалы: Функции Azure сетевые параметры
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Справочные материалы: Функции Azure сетевые параметры
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.
Справочные материалы: Функции Azure сетевые параметры
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: Функции Azure можно настроить с помощью частных конечных точек, но в настоящее время нет ни одного переключателя для отключения доступа к общедоступной сети без настройки частных конечных точек.
Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ip-адресов ACL уровня службы или переключения для доступа к общедоступной сети.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Примечания к функциям. Для конечных точек, принадлежащих клиенту, можно настроить требование Azure AD требований к проверке подлинности. Системные конечные точки для операций развертывания и расширенные средства разработчика поддерживают Azure AD но по умолчанию могут использовать учетные данные публикации. Эти учетные данные публикации можно отключить. Доступ к некоторым конечным точкам плоскости данных в приложении можно получить с помощью административных ключей, настроенных в узле Функций, и в настоящее время они не настраиваются с учетом требований Azure AD.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Настройка учетных данных развертывания — отключение обычной проверки подлинности
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Учетные данные развертывания создаются по умолчанию, но их можно отключить. Некоторые операции, предоставляемые средой выполнения приложения, могут выполняться с помощью административного ключа, который в настоящее время нельзя отключить. Этот ключ может храниться в Azure Key Vault, и его в любое время можно создать повторно. Избегайте использования локальных методов проверки подлинности или учетных записей. Они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Отключение обычной проверки подлинности
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Использование управляемых удостоверений для Служба приложений и Функции Azure
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Web
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Примечания о функциях. Для конечных точек плоскости данных, которые не определены приложением, необходимо настроить условный доступ для управления службами Azure.
Руководство по настройке. Определите применимые условия и условия для условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного поведения при входе или требование устройств, управляемых организацией, для конкретных приложений.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраивают их в файлы кода или конфигурации.
Справка. Использование Key Vault ссылок для Служба приложений и Функции Azure
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Примечания к функциям. Единственными действиями плоскости данных, которые могут использовать Azure RBAC, являются конечные точки Kudu,SCM/deployment. Для них требуется разрешение на Microsoft.Web/sites/publish/Action операцию. Конечные точки, предоставляемые приложением клиента, не охватываются Azure RBAC.
Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли Azure RBAC можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.
Справка. Разрешения RBAC, необходимые для доступа к Kudu
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Приложения-функции по умолчанию создаются для поддержки TLS 1.2 в качестве минимальной версии, но для приложения можно настроить более раннюю версию с помощью параметра конфигурации. По умолчанию протокол HTTPS не требуется для входящих запросов, но его можно также задать с помощью параметра конфигурации, после чего любой HTTP-запрос будет автоматически перенаправлен на использование протокола HTTPS.
Руководство по настройке. Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Примените протокол HTTPS для любых веб-приложений и служб и убедитесь, что используется ПРОТОКОЛ TLS версии 1.2 или более поздней. Устаревшие версии, такие как SSL 3.0, TLS версии 1.0, должны быть отключены. Для удаленного управления Виртуальные машины вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Справочник. Добавление TLS/SSL-сертификатов и управление ими в Служба приложений Azure
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Web
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Функции Azure не поддерживает эту функцию напрямую, но приложение можно настроить для использования служб, которые делают вместо любого возможного хранилища данных в Функциях. Файлы Azure можно подключить как файловую систему, все параметры приложения, включая секреты, могут храниться в azure Key Vault, а параметры развертывания, такие как запуск из пакета, могут извлекать содержимое из хранилища BLOB-объектов Azure.
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Справочник. Шифрование неактивных данных приложения с помощью ключей, управляемых клиентом
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справка. Использование Key Vault ссылок для Служба приложений и Функции Azure
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует определенным стандартам без использования каких-либо небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в azure Key Vault и службе Azure (если поддерживается) на основе определенного расписания или при истечении срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему сменяются с помощью ручных методов в Azure Key Vault и приложении.
Справка. Добавление TLS/SSL-сертификата в Служба приложений Azure
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Defender для Служба приложений включает Функции Azure. Если это решение включено, приложения-функции в область включения будут включены.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Когда вы получаете оповещение от Microsoft Defender для Key Vault, изучите оповещение и ответьте на него.
Справочник. Defender для Служба приложений
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL содержит журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник. Мониторинг Функции Azure с помощью журналов Azure Monitor
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Функция резервного копирования приложения доступна, если она размещена в плане уровня "Стандартный", "Премиум" или "Изолированный" Служба приложений. Эта функция не использует Azure Backup и не включает источники событий или внешне связанное хранилище. Дополнительные сведения см. в разделе /azure/app-service/manage-backup.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Функция резервного копирования доступна для приложений, работающих в планах "Стандартный", "Премиум" и "Изолированный" Служба приложений. Сюда не входит резервное копирование источников событий или внешнего хранилища.
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справка. Резервное копирование и восстановление приложения в Служба приложений Azure
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.