Базовый план обеспечения безопасности Azure для Функций Azure

Этот базовый план обеспечения безопасности применяет рекомендации от Azure Security Benchmark версии 2.0 к Функциям Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к Функциям Azure.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Функциям Azure, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о полном соответствии Функций Azure рекомендациям Azure Security Benchmark см. в полном файле соответствия базового плана обеспечения безопасности Функций Azure.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. При развертывании ресурсов Функций Azure необходимо создать виртуальную сеть или использовать существующую. Убедитесь, что все виртуальные сети Azure следуют принципу сегментации предприятия, который соответствует бизнес-рискам. Любая система, с которой связан повышенный риск для организации, должна быть изолирована в собственной виртуальной сети и достаточно хорошо защищена с помощью группы безопасности сети (NSG) или при помощи Брандмауэра Azure.

Используйте Адаптивную защиту сети в Microsoft Defender для облака, чтобы рекомендовать конфигурации групп безопасности сети с ограничениями для портов и исходных IP-адресов, а также ссылкой на внешние правила сетевого трафика.

Функции Azure имеют два основных способа развертывания ресурсов в контексте сети. Приложение-функцию можно создать в эластичном плане "Премиум" с конечными точками службы или частными конечными точками для интеграции виртуальных сетей входящих запросов с принудительным туннелированием для исходящих запросов. Приложение-функцию можно также полностью развернуть в виртуальной сети, запустив в Среде службы приложений. При работе в этих режимах необходимо задать правила и ограничения сети для таких зависимостей, как учетная запись хранения, используемая Функциями, а также любое событие или источники данных.

С помощью Microsoft Sentinel вы можете выявить использование устаревших небезопасных протоколов, таких как SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, неподписанные привязки LDAP и слабые шифры в Kerberos.

Приложения-функции создаются по умолчанию для поддержки протокола TLS 1.2 в качестве минимальной версии, но приложение можно настроить с более ранней версией с помощью параметра конфигурации. По умолчанию протокол HTTPS не требуется для входящих запросов, но его можно также задать с помощью параметра конфигурации, после чего любой HTTP-запрос будет автоматически перенаправлен на использование протокола HTTPS.

Некоторые источники событий, которые потребляются приложением, могут потребовать открытия дополнительных портов в сети или из нее, но в случае по умолчанию это не требуется.

Приложения-функции можно настроить с учетом ограничений IP для входящих запросов. Они задаются с помощью списка приоритетов правил разрешения или запрета для блоков IP, подсетей виртуальной сети или же тегов служб.

Ответственность: Customer

NS-2: совместное подключение частных сетей

Руководство. Воспользуйтесь Azure ExpressRoute или виртуальной частной сетью Azure (VPN) для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой среды для совместного размещения. Подключения ExpressRoute не проходят через общедоступный Интернет и обеспечивают повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями. В случае VPN "точка — сеть" и VPN типа "сеть — сеть" локальные устройства или сети можно подключить к виртуальной сети с помощью любого сочетания параметров VPN и Azure ExpressRoute.

Для подключения двух или более виртуальных сетей в Azure используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Руководство. Используйте Приватный канал Azure для разрешения частного доступа к Функциям Azure из ваших виртуальных сетей без перехода в Интернет.

Частный доступ — это дополнительная мера эшелонированной защиты в дополнение к функциям проверки подлинности и защиты трафика, которые предоставляются службами Azure.

При создании входящего подключения к частной конечной точке для функций потребуется также запись DNS для разрешения частного адреса. По умолчанию частная запись DNS будет создана при создании частной конечной точки с помощью портала Azure.

Если невозможно использовать частные конечные точки, то нужно использовать конечные точки службы виртуальной сети Azure, чтобы обеспечить безопасный доступ к Функциям Azure, используя оптимизированный маршрут через магистральную сеть Azure без доступа в Интернет. Конечные точки службы можно включить на уровне приложения и подсети для Функций Azure.

Конечные точки служб нельзя использовать для ограничения доступа к приложениям, работающим в среде службы приложений. Если ваше приложение находится в среде службы приложений, то для управления доступом к нему можно применять правила IP-адресов.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Защитите ресурсы Функций Azure от атак из внешних сетей, включая распределенные атаки типа "отказ в обслуживании" (DDoS), атаки на определенные приложения, а также нежелательный и потенциально вредоносный интернет-трафик. Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Используйте возможности Брандмауэра веб-приложения (WAF) в Шлюзе приложений Azure, в Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, работающих в Функциях Azure, от атак на уровне приложения.

Для введения брандмауэра веб-приложений требуется либо Среда службы приложений, либо использование частных конечных точек.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Руководство. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для групп безопасности сети или Брандмауэра Azure, настроенных для ресурсов Службы Azure SignalR. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Тег службы "AppService" обобщает для службы диапазоны IP-адресов и может использоваться в правилах для исходящего трафика.

Тег службы "AppServiceManagement" обобщает трафик управления для развертываний, выделенных для Среды службы приложений.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Рекомендации. Следуйте рекомендациям по обеспечению безопасности DNS, чтобы устранить распространенные атаки, такие как "висячие" записи DNS, атаки с усилением DNS, подделка и спуфинг DNS и т. д.

Если в качестве полномочной службы DNS используется Azure DNS, убедитесь, что зоны и записи DNS защищены от случайного или вредоносного изменения через Azure RBAC и блокировки ресурсов.

Если приложение-функция выполняется в Среде службы приложений и виртуальная сеть настроена с выбранным клиентом DNS-сервером, рабочие нагрузки приложения-функции используют его. DNS-сервер должен быть доступен из подсети, содержащей Среду службы приложений. Сама среда по-прежнему использует Azure DNS в целях управления.

Ответственность: Совмещаемая блокировка

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. По умолчанию в Функциях Azure в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Вам следует стандартизировать Azure AD для управления удостоверениями и доступом в организации в следующих областях:

  • ресурсам Microsoft Cloud, таким как портал Azure, службе хранилища Azure, виртуальной машине Azure (для Linux и Windows), Azure Key Vault, а также платформам в виде услуг и приложениям SaaS.
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна быть высокоприоритетной задачей в стратегии вашей организации по обеспечению безопасности в облаке. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы с помощью внешнего удостоверения.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В вашем приложении API необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0
В вашем приложении-функции необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0
В вашем веб-приложении необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Функции Azure используют управляемые удостоверения Azure для учетных записей, не связанных с персоналом, таких как управляемые удостоверения служб или автоматизации. Мы рекомендуем использовать функцию управляемого удостоверения Azure вместо создания более многофункциональной учетной записи пользователя для доступа к ресурсам или их выполнения. Служба "Функции Azure" может выполнять внутреннюю проверку подлинности для служб или ресурсов Azure, поддерживающих проверку подлинности Azure AD, с помощью предварительно определенного правила предоставления доступа без использования учетных данных, жестко закодированных в исходном коде или файлах конфигурации.

Функции Azure поддерживают управляемое удостоверение, назначаемое пользователем, и управляемое удостоверение, назначаемое системой. Управляемые удостоверения могут использоваться кодом, развернутым клиентом для запроса маркеров к другим ресурсам. Удостоверения могут также использоваться для таких функций службы, как разрешение секретов из хранилища ключей или извлечение образов из реестра контейнеров.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В вашем приложении API необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0
В вашем приложении-функции необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0
В вашем веб-приложении необходимо использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 2.0.0

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. В Функциях Azure для управления удостоверениями и доступом к ресурсам Azure, облачным приложениям и локальным приложениям используется Azure Active Directory. Сюда входят корпоративные удостоверения, например сотрудники, а также внешние удостоверения, например партнеры и поставщики. Это решение обеспечивает единый вход (SSO) для управления данными и ресурсами организации, а также предоставляет безопасный доступ к ним в локальной среде и в облаке. Подключите пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности управления.

Ответственность: Customer

IM-5. Мониторинг аномалий учетных записей и соответствующее оповещение

Руководство. Функции Azure интегрированы со службой Azure Active Directory (Azure AD), которая предоставляет перечисленные ниже источники данных:

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
  • Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита содержат изменения, внесенные в любые ресурсы в Azure AD, например добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Указанные источники данных можно интегрировать с Azure Monitor, Microsoft Sentinel или сторонними системами SIEM.

Microsoft Defender для облака может также создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке.

Расширенная защита от угроз Azure (ATP) — это решение для обеспечения безопасности, которое может использовать сигналы Active Directory для выявления, обнаружения и изучения дополнительных угроз, скомпрометированных удостоверений и внутренних вредоносных действий.

Некоторые операции, которые предоставляет среда выполнения приложения, могут выполняться с помощью административного ключа. Этот ключ может храниться в Azure Key Vault, и его в любое время можно создать повторно.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Функции Azure позволяют клиентам развертывать, выполнять код, конфигурации или сохранять данные, потенциально с удостоверениями и секретами. Рекомендуется реализовать средство поиска учетных данных для обнаружения учетных данных в коде, конфигурациях или сохраняемых данных. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.

Функции Azure имеют встроенную функцию для ссылок на секреты из Key Vault без необходимости изменений кода.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей.

С помощью ключа администрирования можно выполнить некоторые административные операции для приложения. Этим следует управлять в безопасном репозитории, например Azure Key Vault.

Ответственность: Customer

PA-2: ограничение административного доступа к системам, критически важным для бизнеса

Руководство. В Функциях Azure используется управление доступом на основе ролей Azure (Azure RBAC) для разграничения доступа к критически важным для бизнеса системам путем ограничения круга учетных записей с привилегированным доступом к подпискам и группам управления, в которых они находятся.

Убедитесь, что также ограничен доступ к системам управления, удостоверений и безопасности, которые имеют административный доступ к критически важным для бизнеса ресурсам, таким как контроллеры домена Active Directory (DC), средства безопасности и средства управления системой при установленных агентах в критически важных системах для бизнеса. Злоумышленники, получившие доступ к этим системам управления и безопасности, смогут немедленно взять их на вооружение, чтобы с их помощью взламывать критически важные для бизнеса ресурсы.

Все типы контроля доступа должны быть согласованы со стратегией сегментации вашего предприятия, чтобы обеспечить единообразный контроль доступа.

Учетные записи с разрешениями на развертывание для приложения-функции имеют доступ к отладке и, следовательно, обращаются к любым системам или данным, с которыми оно работает. Это разрешение подразумевается ролями "Участник", а также "Владелец".

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. В Функциях Azure используются учетные записи Azure AD для управления ресурсами, а также регулярной проверки учетных записей и назначения доступа, чтобы обеспечить действительность учетных записей и допустимость их доступа. Используя средства Azure AD и проверку доступа, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management (PIM) для создания рабочих процессов получения отчета о проверке доступа, который упростит процесс проверки.

Кроме того, Azure AD PIM можно настроить для выдачи оповещения в случае, когда создается чрезмерно много учетных записей администраторов, и выявления устаревших или неправильно настроенных учетных записей администраторов.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Этими пользователями клиентам необходимо будет управлять отдельно.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Рекомендации. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. Используйте Azure Active Directory (Azure AD), Advanced Threat Protection (ATP) в Microsoft Defender и Microsoft Intune, чтобы развернуть безопасную и (или) управляемую рабочую станцию пользователя для выполнения административных задач. Защищенными рабочими станциями можно управлять централизованно для безопасной настройки, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Управление ресурсами Функций Azure обеспечивается путем его интеграции с управлением доступом на основе ролей Azure (Azure RBAC). Azure RBAC позволяет управлять доступом к ресурсам Azure посредством назначения ролей. Вы можете назначать роли пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые ресурсам через Azure RBAC, должны всегда ограничиваться возможностями, которые необходимы ролям. Этот метод дополняет собой JIT-подход Azure AD Privileged Identity Management (PIM). Его необходимо периодически проверять.

Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

Некоторые операции предоставляются приложением, которое можно контролировать с помощью административного ключа. Контролируйте доступ к этому ключу, используя Azure Key Vault.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. В тех ситуациях, когда корпорации Майкрософт требуется доступ к данным клиентов, поддерживаемое Функциями Azure защищенное хранилище предоставляет интерфейс для просмотра, утверждения или отклонения вами запросов на доступ к данным клиентов.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Рекомендация. Защитите конфиденциальные данные путем ограничения доступа с помощью управления доступом на основе ролей Azure, сетевых элементов управления доступом и специальных элементов управления в службах Azure (например, шифрование).

Чтобы гарантировать постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и управления. Обычно этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных. Включите Microsoft Defender для Службы приложений, чтобы оповещать об аномальных действиях, связанных с Функциями Azure.

Azure Information Protection (AIP) предоставляет возможности мониторинга сведений, которые были классифицированы и помечены.

Если необходимо обеспечить соответствие политики защиты от потери данных (DLP), можно использовать решение DLP на основе узла, чтобы принудительно применять выявляющие и (или) профилактические элементы управления для предотвращения кражи данных.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Руководство. В дополнение к элементам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования, чтобы злоумышленники не смогли легко прочитать или изменить данные.

Функции Azure поддерживают шифрование данных при передаче с помощью TLS версии 1.2 или более поздней.

Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут согласовывать TLS версии 1.2 или выше. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.

Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.

При необходимости параметры конфигурации можно использовать для более ранней версии TLS, но по умолчанию протокол TLS 1.2 является минимальной версией.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Приложение API должно быть доступно только по HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled 1.0.0
В вашем приложении API необходимо принудительно использовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 2.0.0
В вашем приложении-функции необходимо принудительно использовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 2.0.0
В вашем веб-приложении необходимо принудительно использовать FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 2.0.0
Приложение-функция должно быть доступно только по HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled 1.0.0
В вашем приложении API необходимо использовать последнюю версию TLS Обновите TLS до последней версии. AuditIfNotExists, Disabled 1.0.0
В вашем приложении-функции необходимо использовать последнюю версию TLS Обновите TLS до последней версии. AuditIfNotExists, Disabled 1.0.0
В вашем веб-приложении необходимо использовать последнюю версию TLS Обновите TLS до последней версии. AuditIfNotExists, Disabled 1.0.0
Веб-приложение должно быть доступно только по HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled 1.0.0

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. В дополнение к средствам управления доступом Функции Azure шифруют неактивные данные, чтобы защитить их от "внешних" атак (например, доступ к базовому хранилищу) с помощью шифрования. Это позволяет гарантировать, что злоумышленники не смогут легко считать или изменить данные.

Учетную запись хранения, используемую Функциями Azure, можно настроить с помощью дополнительных параметров шифрования.

Секреты, которые используются для настройки приложения, могут храниться в Azure Key Vault для дополнительных параметров шифрования.

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Применяйте теги к ресурсам, группам ресурсов и подпискам Azure для их логической классификации по определенной таксономии. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Руководство. Ограничьте разрешения развертывания и используйте систему CI/CD для развертывания кода в приложениях-функциях.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Используйте встроенные функции обнаружения угроз в Microsoft Defender для облака, а также включите Microsoft Defender для ресурсов службы Функций Azure. Microsoft Defender для службы "Функции Azure" предоставляет дополнительный уровень обнаружения угроз, где выявляются необычные и потенциально опасные попытки доступа или использования ваших ресурсов Функций Azure.

Перешлите журналы из службы Функций Azure в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Customer

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Рекомендации. Azure AD предоставляет следующие журналы пользователей, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами мониторинга или SIEM для использования более продвинутых функций мониторинга и анализа:

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
  • Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита содержат изменения, внесенные в любые ресурсы в Azure AD, например добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака также может создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз в Microsoft Defender для облака также можно использовать для сбора более подробных оповещений системы безопасности для отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры, служба приложений), ресурсов данных (база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет видеть аномалии учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Инструкции. Включите и выполните сбор данных о журналах ресурса NSG, журналах потоков NSG, журналах Брандмауэра Azure и журналах Брандмауэра веб-приложений в целях анализа безопасности с поддержкой исследований инцидентов, охоты на угрозы и создания оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Обязательно организуйте сбор журналов DNS-запросов для корреляции других сетевых данных. Реализуйте стороннее решение из Azure Marketplace для ведения журнала DNS-сервера в зависимости от потребностей вашей организации.

Приложения-функции, настроенные с помощью Application Insights или Log Analytics, смогут просматривать ресурсы, с которыми приложение пытается взаимодействовать.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Журналы действий, которые автоматически доступны, содержат все операции записи (PUT, POST, DELETE) для ресурсов службы "Функции Azure", за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

Включение журналов ресурсов Azure для службы "Функции Azure". Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В службах приложений должны быть включены журналы диагностики Аудит включения журналов диагностики для приложений. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 2.0.0

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Интегрируйте журналы действий Azure со своей централизованной системой ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи службы хранилища Azure для долгосрочного и архивного хранения.

Кроме того, подключите данные к Microsoft Sentinel или сторонней системе SIEM.

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Для приложений, которые можно запускать в Функциях Azure, необходимо переадресовать все журналы, относящиеся к безопасности, в SIEM для централизованного управления.

Ответственность: Customer

LT-6: Настройка хранения журналов

Руководство. Убедитесь, что для всех учетных записей хранения или рабочих областей Log Analytics, используемых для хранения журналов Функций Azure, установлен период хранения, соответствующий нормативным требованиям вашей организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Функции Azure не поддерживают настройку ваших собственных источников синхронизации времени.

Функции Azure используют источники синхронизации времени Майкрософт и недоступна клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. С помощью схем Azure Blueprints можно автоматизировать развертывание и настройку служб и сред приложений, включая шаблоны Azure Resource Manager, элементы управления RBAC в Azure и политики Azure, в едином определении схемы.

Все планы Функций Azure, кроме плана потребления, поддерживаются Microsoft Defender для Службы приложений.

Некоторые параметры безопасности в Функциях Azure существуют как часть дочерних ресурсов конфигурации в Azure Resource Manager и не контролируются политикой Azure, применяемой к приложениям функций.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Руководство. Используйте Microsoft Defender для облака для мониторинга конфигурационной базы и принудительного применения политики Azure [deny] и [DeployIfNotExist] для обеспечения безопасной конфигурации для различных вычислительных ресурсов Azure, в том числе виртуальных машин, контейнеров и т. д.

Все планы Функций Azure, кроме плана потребления, поддерживаются Microsoft Defender для Службы приложений.

Некоторые параметры безопасности в Функциях Azure существуют как часть дочерних ресурсов конфигурации в Azure Resource Manager и не контролируются Политикой Azure, применяемой к приложениям функций.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Средства CORS не должны разрешать всем ресурсам доступ к вашему приложению API Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению API всем доменам. Разрешите взаимодействие с приложением API только необходимым доменам. AuditIfNotExists, Disabled 1.0.0
Функция CORS не должны разрешать всем ресурсам доступ к вашим приложениям-функциям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 1.0.0
Функция CORS не должна разрешать всем ресурсам доступ к вашим веб-приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему веб-приложению всем доменам. Разрешите взаимодействие с веб-приложением только необходимым доменам. AuditIfNotExists, Disabled 1.0.0
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для приложения API должен иметь значение "Вкл" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Audit, Disabled 1.0.0
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Audit, Disabled 1.0.0
Для приложений-функций должны быть включены сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Audit, Disabled 1.0.1
Удаленная отладка должна быть отключена для приложений API Для удаленной отладки нужно, чтобы в приложениях API были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 1.0.0
Удаленная отладка должна быть отключена для приложений-функций Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 1.0.0
Удаленная отладка должна быть отключена для веб-приложений Для удаленной отладки нужно, чтобы в веб-приложении были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 1.0.0

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Рекомендации. Используйте Microsoft Defender для облака и Политику Azure, чтобы обеспечить защищенную конфигурацию для всех вычислительных ресурсов, включая виртуальные машины, контейнеры и другое.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. Используя Microsoft Defender для облака и Политики Azure, регулярно выполняйте оценку и устранение рисков конфигурации для вычислительных ресурсов Azure, в том числе виртуальных машин и контейнеров. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы ОС или службу State Configuration службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, необходимой для вашей организации. На странице рекомендаций Microsoft Defender для облака вы можете просмотреть рекомендации и устранить проблемы.

Ответственность: Совмещаемая блокировка

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Функции Azure позволяют клиентам управлять любыми образами контейнеров, которые они используют в службе. Используйте управление доступом на основе ролей Azure (RBAC), чтобы доступ к пользовательским образам был только у полномочных пользователей. Храните образы контейнеров в реестре контейнеров Azure и используйте Azure RBAC, чтобы убедиться, что доступ имеют только полномочные пользователи.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Функции Azure позволяют выполнять контейнеры, развернутые с помощью реестров контейнеров.

Следуйте рекомендациям Microsoft Defender для облака, чтобы выполнять оценку уязвимостей на образах контейнера Azure. Microsoft Defender для облака имеет встроенный сканер уязвимостей для образов контейнеров.

Чтобы удостовериться, что уязвимости устранены, в случае необходимости экспортируйте результаты проверки через определенные интервалы времени и сравнивайте эти результаты с результатами предыдущих проверок. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, вы можете перейти на портал выбранного решения и просмотреть данные сканирования за прошлые периоды.

Корпорация Майкрософт закрывает уязвимости в базовых системах, поддерживающих Функции Azure.

Ответственность: Совмещаемая блокировка

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Увеличьте приоритет использования общей программы оценки рисков (например, Common Vulnerability Scoring System) или оценки рисков по умолчанию, предоставляемые сторонним средством сканирования и адаптированные к вашей среде, используя контекст приложений, которые представляют высокий риск для безопасности и требуют много времени для получения доступа.

Функции Azure позволяют пользователям развертывать приложения с помощью пользовательских образов, развернутых с помощью реестров контейнеров в своей среде.

Используйте стороннее решение для управления исправлениями, относящимися к стороннему ПО, или System Center Updates Publisher для Configuration Manager.

Используйте стороннее решение для управления исправлениями, относящимися к стороннему ПО, или System Center Updates Publisher для Configuration Manager.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Web

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В приложении API должна использоваться последняя версия Java Для Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию Python. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 2.0.0
В приложении-функции должна использоваться последняя версия Java Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 2.0.0
В веб-приложении должна использоваться последняя версия Java Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Java. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 2.0.0
В приложении API должна использоваться последняя версия PHP Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию PHP. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 2.1.0
В веб-приложении должна использоваться последняя версия PHP Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию PHP. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 2.1.0
В приложении API должна использоваться последняя версия Python Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию Python. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 3.0.0
В приложении-функции должна использоваться последняя версия Python Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 3.0.0
В веб-приложении должна использоваться последняя версия Python Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Python. Сейчас эта политика применяется только к веб-приложениям Linux. AuditIfNotExists, Disabled 3.0.0

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью.

Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Руководство. Майкрософт управляет компонентами базовой платформы Функций Azure. Функции Azure проходят проверку соответствия на постоянной основе, чтобы убедиться, что 24-часовое управление угрозами защищает инфраструктуру и платформу от вредоносных программ, распределенных отказов в обслуживании (от атак DDoS), "злоумышленник в середине" (MITM) и других угроз. Защита от вредоносных программ Microsoft работает на базовом узле, поддерживающем службы Azure, такие как Функции Azure. Однако она не выполняется в вашем содержимом.

Ответственность: Microsoft

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Руководство. Функции Azure обслуживают и запускают антивредоносные программы для системных ресурсов и среды выполнения. Для пользовательских образов контейнеров или для хранилища, используемого приложением, вам следует рассмотреть использование централизованно управляемого современного решения для защиты от вредоносных программ.

Ответственность: Совмещаемая блокировка

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Руководство. Майкрософт управляет компонентами базовой платформы Функций Azure. Функции Azure проходят проверку соответствия на постоянной основе, чтобы убедиться, что 24-часовое управление угрозами защищает инфраструктуру и платформу от вредоносных программ, распределенных отказов в обслуживании (от атак DDoS), "злоумышленник в середине" (MITM) и других угроз. Защита от вредоносных программ Microsoft работает на базовом узле, поддерживающем службы Azure, такие как Функции Azure. Однако она не выполняется в вашем содержимом.

Ответственность: Microsoft

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-4: снижение риска потери ключей

Руководство. Убедитесь, что вы реализовали меры по предотвращению и восстановлению после потери ключей. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги