Базовый план безопасности Azure для Службы приложений
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Служба приложений. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Служба приложений.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции, неприменимые к Служба приложений, были исключены. Чтобы узнать, как Служба приложений полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Служба приложений.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Служба приложений с высоким уровнем влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Вычисления, Интернет |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Интеграция виртуальная сеть настроена по умолчанию при использовании Служба приложений сред, но должна быть настроена вручную при использовании общедоступного мультитенантного предложения.
Руководство по настройке. Обеспечьте стабильный IP-адрес для исходящих подключений к интернет-адресам. Вы можете предоставить стабильный исходящий IP-адрес с помощью функции интеграции виртуальная сеть. Это позволяет принимающей стороне получать список разрешений на основе IP-адреса, если это необходимо.
При использовании Служба приложений в ценовой категории "Изолированный", также называемой Среда службы приложений (ASE), можно выполнить развертывание непосредственно в подсети в виртуальная сеть Azure. Используйте группы безопасности сети для защиты среды службы приложений Azure, чтобы блокировать входящий и исходящий трафик для ресурсов в виртуальной сети или ограничивать доступ к приложениям в Среде службы приложений Azure.
В мультитенантном Служба приложений (приложение не на уровне "Изолированный") разоставьте приложениям доступ к ресурсам в или через виртуальная сеть с помощью функции интеграции виртуальная сеть. Затем можно использовать группы безопасности сети для управления исходящим трафиком из приложения. При использовании интеграции виртуальная сеть можно включить конфигурацию "Маршрутизировать все", чтобы весь исходящий трафик был подвержен группам безопасности сети и определяемым пользователем маршрутам в подсети интеграции. Эту функцию также можно использовать для блокировки исходящего трафика на общедоступные адреса из приложения. Интеграция виртуальной сети Microsoft Azure не может быть использована для предоставления входящего доступа к приложению.
Для обмена данными со службами Azure часто нет необходимости зависеть от IP-адреса и следует использовать такие механизмы, как конечные точки службы.
Примечание. Для сред Служба приложений по умолчанию группы безопасности сети включают неявное правило запрета с наименьшим приоритетом и требуют добавления явных разрешаемых правил. Правила разрешений для группы безопасности сети следует добавлять, руководствуясь принципом минимальных привилегий. Базовые виртуальные машины, используемые для размещения Среды службы приложений Azure, недоступны напрямую, так как они находятся в подписке, управляемой Майкрософт.
При использовании функции интеграции виртуальной сети Microsoft Azure с виртуальными сетями в одном регионе используйте группы безопасности сети и таблицы маршрутизации с определяемыми пользователем маршрутами. Определяемые пользователем маршруты могут быть размещены в подсети интеграции для отправки исходящего трафика в соответствии с назначением.
Справочник. Интеграция приложения с виртуальной сетью Azure
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Поддержка группы безопасности сети доступна для всех клиентов, использующих среды Служба приложений, но доступна только в приложениях, интегрированных с виртуальной сетью, для клиентов, использующих общедоступное мультитенантное предложение.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочные материалы: сеть Среда службы приложений
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте частные конечные точки для веб-приложения Azure, чтобы разрешить клиентам, расположенным в частной сети, безопасный доступ к приложениям через Приватный канал. Частная конечная точка использует IP-адрес из адресного пространства Azure VNet. Сетевой трафик между клиентом и вашей частной сетью проходит через VNet и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков общедоступного Интернета.
Примечание. Частная конечная точка используется только для входящих потоков в веб-приложение. Исходящие потоки не будут использовать эту частную конечную точку. Однако вы можете ввести исходящие потоки в сеть в другой подсети с помощью функции интеграции VNet. Использование частных конечных точек для служб на принимающем конце Служба приложений трафика позволяет избежать SNAT и обеспечивает стабильный диапазон исходящих IP-адресов.
Дополнительное руководство. При выполнении контейнеров на Служба приложений, которые хранятся в Реестр контейнеров Azure (ACR), убедитесь, что эти образы извлекаются по частной сети. Для этого настройте частную конечную точку в ACR, в котором хранятся эти образы, а также задав параметр приложения "WEBSITE_PULL_IMAGE_OVER_VNET" в веб-приложении.
Справочник. Использование частных конечных точек для веб-приложения Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Отключите доступ к общедоступной сети с помощью правил фильтрации ACL IP-адресов на уровне службы или частных конечных точек или задав publicNetworkAccess для свойства значение disabled в ARM.
Справка. Настройка Служба приложений Azure ограничений доступа
NS-5: развертывание защиты от атак DDoS
Другие рекомендации для NS-5
Включите защиту от атак DDOS уровня "Стандартный" в виртуальной сети, в Брандмауэр веб-приложений Служба приложений. Azure обеспечивает защиту от атак DDoS уровня "Базовый" в своей сети, которая может быть улучшена с помощью интеллектуальных возможностей DDoS уровня "Стандартный", которые изучают обычные шаблоны трафика и могут обнаруживать необычное поведение. DDoS уровня "Стандартный" применяется к виртуальная сеть поэтому его необходимо настроить для сетевого ресурса перед приложением, например Шлюз приложений или NVA.
NS-6: развертывание брандмауэра веб-приложения
Другие рекомендации для NS-6
Избегайте обхода WAF для приложений. Убедитесь, что waf не может быть обходить, блокируя доступ только к WAF. Используйте сочетание ограничений доступа, конечных точек службы и частных конечных точек.
Кроме того, защитите Среда службы приложений, перенаправляя трафик через Шлюз приложений Azure с поддержкой Брандмауэр веб-приложений (WAF) или Azure Front Door.
Для мультитенантного предложения защитите входящий трафик к приложению с помощью:
- Ограничения доступа: ряд правил разрешения или запрета, которые управляют входящим доступом.
- Конечные точки службы: могут запрещать входящий трафик из-за пределов указанных виртуальных сетей или подсетей.
- Частные конечные точки. Предоставьте приложению виртуальная сеть с частным IP-адресом. Если в приложении включены частные конечные точки, оно перестает быть доступным через Интернет.
Рекомендуем установить Брандмауэр Azure, чтобы централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях. Брандмауэр Azure использует статический общедоступный IP-адрес для виртуальных сетевых ресурсов, позволяя внешним брандмауэрам идентифицировать трафик, исходящий из виртуальной сети.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Для веб-приложений, прошедших проверку подлинности и авторизацию доступа пользователей, используйте только известные поставщики удостоверений. Если доступ к приложению должен осуществляться только пользователями вашей организации или в противном случае все пользователи используют Azure Active Directory (Azure AD), настройте Azure AD в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Проверка подлинности и авторизация в Служба приложений Azure и Функции Azure
Локальные методы проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Проверка подлинности и авторизация в Служба приложений Azure и Функции Azure
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Распространенный сценарий использования управляемого удостоверения с Служба приложений — доступ к другим службам Azure PaaS, таким как база данных Azure SQL, служба хранилища Azure или Key Vault.
Справочник. Использование управляемых удостоверений для Служба приложений и Функции Azure
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Дополнительное руководство. Хотя субъекты-службы поддерживаются службой в качестве шаблона для проверки подлинности, мы рекомендуем использовать управляемые удостоверения, где это возможно.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Web
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного поведения при входе или требование устройств, управляемых организацией, для определенных приложений.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Убедитесь, что секреты и учетные данные приложения хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраиваются в файлы кода или конфигурации. Используйте управляемое удостоверение в приложении для безопасного доступа к учетным данным или секретам, хранящимся в Key Vault.
Справка. Использование Key Vault ссылок для Служба приложений и Функции Azure
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям уровня данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщиков облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, когда корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утвердить или отклонить каждый из запросов на доступ к данным майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Реализуйте сканер учетных данных в конвейере сборки для идентификации учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание: служба поддерживает решение защиты от потери данных для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Хотя функции идентификации, классификации и защиты от потери данных пока недоступны для Служба приложений, вы можете снизить риск кражи данных из виртуальной сети, удалив все правила, в которых назначение использует тег для служб Интернета или Azure.
Корпорация Майкрософт управляет базовой инфраструктурой Службы приложений Azure и использует надежные средства управления для предотвращения потери или раскрытия данных клиента.
Используйте теги для отслеживания Служба приложений ресурсов, в которые хранятся или обрабатываются конфиденциальные сведения.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте и примените минимальную версию TLS версии 1.2 по умолчанию, настроенную в параметрах TLS/SSL, для шифрования всех передаваемых данных. Также убедитесь, что все HTTP-запросы на подключение перенаправляются на HTTPS.
Справка. Добавление TLS/SSL-сертификата в Служба приложений Azure
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Web
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Содержимое веб-сайта в приложении Служба приложений, например файлы, хранится в службе хранилища Azure, которая автоматически шифрует неактивное содержимое. Настройте Key Vault, чтобы сохранять в нем секреты приложения и извлекать их во время выполнения.
Введенные клиентом секреты шифруются при хранении в базах данных конфигурации для Службы приложений Azure.
Обратите внимание, что хотя локально подключенные диски могут использоваться веб-сайтами в качестве временного хранилища (например, D:\local и %TMP), они шифруются только в общедоступном мультитенантном Служба приложений, где можно использовать номер SKU Pv3. Для старых общедоступных мультитенантных единиц масштабирования, где номер SKU Pv3 недоступен, клиент должен создать новую группу ресурсов и повторно развернуть в ней свои ресурсы.
Кроме того, клиент может запускать свое приложение в Служба приложений непосредственно из ZIP-пакета. Дополнительные сведения см. в статье Запуск приложения в Служба приложений Azure непосредственно из ZIP-пакета.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Примечание. Содержимое веб-сайта в приложении Служба приложений, например файлы, хранится в службе хранилища Azure, которая автоматически шифрует неактивное содержимое. Настройте Key Vault, чтобы сохранять в нем секреты приложения и извлекать их во время выполнения.
Введенные клиентом секреты шифруются при хранении в базах данных конфигурации для Службы приложений Azure.
Обратите внимание на то, что, хотя локально подключенные диски могут быть использованы в качестве временного хранилища для веб-сайтов (например, D:\local и %TMP%), они не обеспечивают шифрование неактивных данных.
Справочник. Шифрование неактивных данных с помощью ключей, управляемых клиентом
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справка. Использование Key Vault ссылок для Служба приложений и Функции Azure
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Служба приложений можно настроить с помощью SSL/TLS и других сертификатов, которые можно настроить непосредственно на Служба приложений или ссылаться из Key Vault. Чтобы обеспечить централизованное управление всеми сертификатами и секретами, сохраните все сертификаты, используемые Служба приложений, в Key Vault вместо локального развертывания на Служба приложений напрямую. После настройки Служба приложений автоматически скачит последнюю версию сертификата из azure Key Vault. Убедитесь, что создание сертификата соответствует определенным стандартам без использования каких-либо небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в Azure Key Vault на основе определенного расписания или при истечении срока действия сертификата.
Справка. Добавление TLS/SSL-сертификата в Служба приложений Azure
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Примечание. Определите и реализуйте стандартные конфигурации безопасности для Служба приложений развернутых приложений с помощью Политика Azure. Используйте встроенные определения Политика Azure, а также псевдонимы Политика Azure в пространстве имен Microsoft.Web для создания настраиваемых политик для оповещения, аудита и применения конфигураций системы. Разработайте процесс и конвейер для управления исключениями политик.
Справка. Политика Azure контроля соответствия нормативным требованиям для Служба приложений Azure
AM-4: ограничение доступа к управлению ресурсами
Другие рекомендации для AM-4
Изоляция систем, обрабатывающих конфиденциальную информацию. Для этого используйте отдельные планы Служба приложений или среды Служба приложений и рассмотрите возможность использования разных подписок или групп управления.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для Служба приложений для выявления атак, направленных на приложения, работающие с Служба приложений. После включения Microsoft Defender для Службы приложений вы сразу же можете воспользоваться следующими службами, предлагаемыми этим планом Defender:
Безопасность. Defender для Служба приложений оценивает ресурсы, охватываемые планом Служба приложений, и формирует рекомендации по безопасности на основе полученных результатов. Используйте подробные инструкции, приведенные в этих рекомендациях, для защиты ресурсов Службы приложений.
Обнаружение. Defender для Служба приложений обнаруживает множество угроз для ресурсов Служба приложений, отслеживая экземпляр виртуальной машины, в котором выполняется Служба приложений, и его интерфейс управления, запросы и ответы, отправляемые в приложения Служба приложений, базовые песочницы и Виртуальные машины и Служба приложений внутренние журналы.
Справочник. Защита веб-приложений и API
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов для веб-приложений на Служба приложений.
Справочник. Включение ведения журнала диагностика для приложений в Служба приложений Azure
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-2: проведение аудита и реализация конфигураций безопасности
Другие рекомендации по PV-2
Отключите удаленную отладку, удаленная отладка не должна быть включена для рабочих нагрузок, так как это открывает дополнительные порты в службе, что увеличивает уязвимую зону.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Web
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: в приложениях-функциях должны быть включены сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0 — не рекомендуется |
PV-7: проведение регулярных проверок уязвимостей извне
Другие рекомендации для PV-7
Регулярно проводите тест на проникновение в веб-приложения в соответствии с правилами тестирования на проникновение.
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. По возможности реализуйте структуру приложения без отслеживания состояния, чтобы упростить сценарии восстановления и резервного копирования с помощью Служба приложений.
Если вам действительно нужно поддерживать приложение с отслеживанием состояния, включите функцию резервного копирования и восстановления в Служба приложений которая позволяет легко создавать резервные копии приложений вручную или по расписанию. Можно настроить бессрочное хранение резервных копий. Вы можете восстановить приложение до моментального снимка предыдущего состояния, перезаписав существующее приложение или восстановив другое. Убедитесь, что регулярное и автоматическое резервное копирование выполняется с частотой, определенной политиками организации.
Примечание. Служба приложений могут создать резервную копию следующих данных в учетную запись хранения Azure и контейнер, для использования которых вы настроили приложение:
- конфигурация приложения;
- содержимое файла;
- база данных, подключенная к приложению.
Справочник. Резервное копирование приложения в Azure
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Безопасность DevOps
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: DevOps security.
DS-6. Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps
Другие рекомендации для DS-6
Разверните код в Служба приложений из управляемой и доверенной среды, такой как хорошо управляемый и защищенный конвейер развертывания DevOps. Это позволяет избежать кода, который не контролировался версией и не проверялся для развертывания с вредоносного узла.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.