Azure-säkerhetsbaslinje för Logic Apps

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 1.0 på Logic Apps. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Logic Apps.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte är tillämpliga på Logic Apps, eller för vilka ansvaret är Microsofts, har exkluderats. Information om hur Logic Apps mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Logic Apps-säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Anslutningsappar som körs i den "globala" Logic Apps-tjänsten för flera klientorganisationer distribueras och hanteras av Microsoft. Dessa anslutningsappar tillhandahåller utlösare och åtgärder för åtkomst till molntjänster, lokala system eller både och, inklusive Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePoint med mera. Du kan använda tjänsttaggen AzureConnectors när du anger regler för din nätverkssäkerhetsgrupp eller Azure Firewall för att tillåta åtkomst till relaterade resurser.

För logikappar som behöver direkt åtkomst till resurser i ett virtuellt Azure-nätverk kan du skapa en integrationstjänstmiljö (ISE) där du kan skapa, distribuera och köra dina logikappar på dedikerade resurser. Vissa virtuella Azure-nätverk använder privata slutpunkter (Azure Private Link) för att ge åtkomst till Azure PaaS-tjänster, till exempel Azure Storage, Azure Cosmos DB, Azure SQL Database, partnertjänster eller kundtjänster som finns i Azure. Om dina logikappar behöver åtkomst till virtuella nätverk som använder privata slutpunkter måste du skapa, distribuera och köra dessa logikappar i en ISE.

När du skapar din ISE kan du välja att använda antingen interna eller externa åtkomstslutpunkter. Ditt val avgör om begärande- eller webhook-utlösare i logikappar i ISE kan ta emot samtal utanför det virtuella nätverket. Interna och externa åtkomstslutpunkter påverkar också om du kan visa logikappens körningshistorik, inklusive indata och utdata för en körning, inifrån eller utanför det virtuella nätverket.

Kontrollera att alla undernätsdistributioner för virtuella nätverk som är relaterade till din ISE har en nätverkssäkerhetsgrupp tillämpad med nätverksåtkomstkontroller som är specifika för programmets betrodda portar och källor. När du distribuerar dina logikappar i en ISE använder du Private Link. Azure Private Link ger dig åtkomst till Azure PaaS-tjänster och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. Om du har ett specifikt användningsfall kan du också uppfylla det här kravet genom att implementera Azure Firewall. För att minska komplexiteten när du konfigurerar säkerhetsregler använder du tjänsttaggar som representerar grupper med IP-adressprefix för en specifik Azure-tjänst.

Ansvar: Delad

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverksgränssnitt

Vägledning: Om du kör logikappar i en integrationstjänstmiljö (ISE) som använder en extern åtkomstpunkt kan du använda en nätverkssäkerhetsgrupp (NSG) för att minska risken för dataexfiltrering. Aktivera NSG-flödesloggar och skicka loggar till ett Azure Storage-konto för trafikgranskning. Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Om logikappen använder en begäransbaserad utlösare som tar emot inkommande anrop eller begäranden, till exempel request- eller webhook-utlösaren, kan du begränsa åtkomsten så att endast auktoriserade klienter kan anropa logikappen.

Om du kör logikappar i en integrationstjänstmiljö (ISE) aktiverar du DDoS Protection Standard i det virtuella nätverk som är associerat med din ISE för att skydda dig mot DDoS-attacker. Använd Microsoft Defender för molnintegrerad hotinformation för att neka kommunikation med kända skadliga eller oanvända IP-adresser på Internet.

Distribuera Azure Firewall vid var och en av organisationens nätverksgränser med Hotinformation aktiverat och konfigurerat för att "varna och neka" för skadlig nätverkstrafik.

Använd just-in-time-nätverksåtkomst för Microsoft Defender för molnet för att konfigurera NSG:er för att begränsa exponeringen av slutpunkter till godkända IP-adresser under en begränsad period.

Använd Microsoft Defender for Cloud Adaptive Network Hardening för att rekommendera NSG-konfigurationer som begränsar portar och käll-IP-adresser baserat på faktisk trafik och hotinformation.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: Om du kör logikappar i en integrationstjänstmiljö (ISE) som använder en extern åtkomstpunkt kan du använda en nätverkssäkerhetsgrupp (NSG) för att minska risken för dataexfiltrering. Aktivera NSG-flödesloggar och skicka loggar till ett Azure Storage-konto för trafikgranskning. Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Trafikanalys för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Om du vill ge ytterligare skydd och information om nätverkstrafik kan du referera till åtkomstloggar, som endast genereras om du har aktiverat dem på varje Application Gateway instans. Du kan använda den här loggen för att visa Application Gateway åtkomstmönster och analysera viktig information. Detta inkluderar anroparens IP-adress, begärd URL, svarsfördröjning, returkod och byte in och ut.

Annars kan du använda en tredjepartslösning från Marketplace för att uppfylla detta krav.

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Välj ett erbjudande från Azure Marketplace som stöder IDS/IPS-funktioner med funktioner för nyttolastgranskning. Om intrångsidentifiering och/eller skydd baserat på nyttolastgranskning inte är ett krav kan Azure Firewall med hotinformation användas. Azure Firewall Hotinformationsbaserad filtrering kan avisera och neka trafik till och från kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet.

Distribuera valfri brandväggslösning vid var och en av organisationens nätverksgränser för att identifiera och/eller neka skadlig trafik.

Ansvar: Kund

1.7: Hantera trafik till webbprogram

Vägledning: Om du kör logikappar i en integrationstjänstmiljö (ISE) distribuerar du Azure Application Gateway.

Ansvar: Kund

1.8: Minimera komplexitet och administrativa kostnader för nätverkssäkerhetsregler

Vägledning: För resurser som behöver åtkomst till dina Azure Logic Apps-instanser använder du tjänsttaggar för virtuella nätverk för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange tjänsttaggens namn (t.ex. LogicApps, LogicAppsManagement) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

1.9: Underhålla standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för nätverksresurser relaterade till dina Azure Logic Apps-instanser med Azure Policy. Använd Azure Policy alias i namnrymderna "Microsoft.Logic" och "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure Logic Apps-instanser. Du kan också använda inbyggda principdefinitioner som:

  • Diagnostikloggar i Logic Apps ska vara aktiverade

  • DDoS Protection Standard ska vara aktiverat

Du kan också använda Azure Blueprints för att förenkla storskaliga Azure-distributioner genom att paketera viktiga miljöartefakter, till exempel Azure Resource Manager-mallar, rollbaserad åtkomstkontroll i Azure (Azure RBAC) och principer i en enda skissdefinition. Tillämpa enkelt skissen på nya prenumerationer och miljöer och finjustera kontrollen och hanteringen via versionshantering.

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: För enskilda NSG-regler använder du fältet "Beskrivning" för att ange affärsbehov och/eller varaktighet (osv.) för regler som tillåter trafik till/från ett nätverk.

Använd någon av de inbyggda Azure Policy definitionerna som är relaterade till taggning, till exempel "Kräv tagg och dess värde" för att säkerställa att alla resurser skapas med taggar och för att meddela dig om befintliga otaggade resurser.

Du kan använda Azure PowerShell eller Azure CLI för att söka efter eller utföra åtgärder på resurser baserat på deras taggar.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka nätverksresurskonfigurationer och identifiera ändringar för nätverksresurser som är relaterade till dina Azure Logic Apps-instanser. Skapa aviseringar i Azure Monitor som utlöses när ändringar av viktiga nätverksresurser sker.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: För att få bättre felsökningsinformation om dina logikappar under körning kan du konfigurera och använda Azure Monitor-loggar för att registrera och lagra information om körningsdata och händelser, till exempel utlösarhändelser, körningshändelser och åtgärdshändelser på en Log Analytics-arbetsyta. Azure Monitor hjälper dig att övervaka molnet och lokala miljöer så att du enklare kan underhålla deras tillgänglighet och prestanda. Med hjälp av Azure Monitor-loggar kan du skapa loggfrågor som hjälper dig att samla in och granska den här informationen. Du kan också använda diagnostikdata med andra Azure-tjänster, till exempel Azure Storage och Azure Event Hubs.

Du kan också aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: För att få bättre felsökningsinformation om dina logikappar under körning kan du konfigurera och använda Azure Monitor-loggar för att registrera och lagra information om körningsdata och händelser, till exempel utlösarhändelser, körningshändelser och åtgärdshändelser på en Log Analytics-arbetsyta. Azure Monitor hjälper dig att övervaka molnet och lokala miljöer så att du enklare kan underhålla deras tillgänglighet och prestanda. Med hjälp av Azure Monitor-loggar kan du skapa loggfrågor som hjälper dig att samla in och granska den här informationen. Du kan också använda diagnostikdata med andra Azure-tjänster, till exempel Azure Storage och Azure Event Hubs.

Du kan också aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Logic:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: När du har skapat och kört en logikapp kan du kontrollera logikappens körningsstatus, körningshistorik, utlösarhistorik och prestanda. För händelseövervakning i realtid och mer omfattande felsökning konfigurerar du diagnostikloggning för logikappen med hjälp av Azure Monitor-loggar. Den här Azure-tjänsten hjälper dig att övervaka dina molnmiljöer och lokala miljöer så att du enklare kan underhålla deras tillgänglighet och prestanda. Du kan sedan hitta och visa händelser, till exempel utlösarhändelser, körningshändelser och åtgärdshändelser. Genom att lagra den här informationen i Azure Monitor-loggar kan du skapa loggfrågor som hjälper dig att hitta och analysera den här informationen. Du kan också använda dessa diagnostikdata med andra Azure-tjänster, till exempel Azure Storage och Azure Event Hubs.

I Azure Monitor anger du loggkvarhållningsperiod för loggar som är associerade med dina Azure Logic Apps-instanser enligt organisationens efterlevnadsregler.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Om du vill konfigurera loggning för logikappen kan du aktivera Log Analytics när du skapar logikappen, eller så kan du installera Logic Apps-hanteringslösningen på Log Analytics-arbetsytan för befintliga logikappar. Den här lösningen innehåller sammanställd information för dina logikappkörningar och innehåller specifik information, till exempel status, körningstid, status för omsändning och korrelations-ID: n. Konfigurera sedan Azure Monitor-loggar för att aktivera loggning och skapa frågor för den här informationen.

Du kan också aktivera diagnostikinställningar för Azure-aktivitetsloggen och skicka loggarna till en Log Analytics-arbetsyta. Kör frågor i Log Analytics för att söka efter termer, identifiera trender, analysera mönster och ge många andra insikter baserat på de aktivitetsloggdata som kan ha samlats in för Azure Logic Apps.

Du kan också aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Använd Microsoft Defender för molnet med Log Analytics för övervakning och aviseringar om avvikande aktivitet som finns i säkerhetsloggar och händelser.

Du kan också aktivera och registrera data till Microsoft Sentinel.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identitet och Access Control.

3.1: Bevara en förteckning över administrativa konton

Vägledning: Azure Active Directory (Azure AD) har inbyggda roller som måste tilldelas uttryckligen och är frågebara. Använd Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i administrativa grupper.

För att enkelt komma åt andra resurser som skyddas av Azure AD och autentisera din identitet utan att logga in kan logikappen använda en hanterad identitet (tidigare hanterad tjänstidentitet eller MSI) i stället för autentiseringsuppgifter eller hemligheter. Azure hanterar den här identiteten åt dig och hjälper till att skydda dina autentiseringsuppgifter eftersom du inte måste ange eller rotera hemligheter.

Varje begärandeslutpunkt i en logikapp har en signatur för delad åtkomst (SAS) i slutpunktens URL. Om du delar slutpunkts-URL:en för en begärandebaserad utlösare med andra parter kan du generera url:er för återanrop som använder specifika nycklar och har förfallodatum. På så sätt kan du sömlöst distribuera nycklar eller begränsa åtkomsten till att utlösa logikappen baserat på ett visst tidsintervall.

Ansvar: Kund

3.2: Ändra standardlösenord där det är tillämpligt

Vägledning: Azure Active Directory (Azure AD) och Azure Logic Apps har inte begreppet standardlösenord.

Om grundläggande autentisering används måste du ange ett användarnamn och lösenord. När du skapar dessa autentiseringsuppgifter kontrollerar du att du konfigurerar ett starkt lösenord för autentisering.

Om du använder Infrastruktur som kod bör du undvika att lagra lösenord i kod och i stället använda Azure Key Vault för att lagra och hämta autentiseringsuppgifter.

Ansvar: Kund

3.3: Använda dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton. Använd Microsoft Defender för molnidentitet och åtkomsthantering för att övervaka antalet administrativa konton.

För att hjälpa dig att hålla reda på dedikerade administrativa konton kan du dessutom använda rekommendationer från Microsoft Defender för molnet eller inbyggda Azure-principer, till exempel:

  • Det bör finnas fler än en ägare tilldelad till din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration
  • Externa konton med ägarbehörigheter bör tas bort från din prenumeration

Läs mer i följande referenser:

Ansvar: Kund

3.4: Använd enkel inloggning i Azure Active Directory (SSO)

Vägledning: Använd en Azure-appregistrering (tjänstens huvudnamn) för att hämta en token som kan användas för att interagera med dina Recovery Services-valv via API-anrop.

Många anslutningsappar kräver också att du först skapar en anslutning till måltjänsten eller systemet och anger autentiseringsuppgifter eller annan konfigurationsinformation innan du kan använda en utlösare eller åtgärd i logikappen. Du måste till exempel auktorisera en anslutning till ett Twitter-konto för åtkomst till data eller för att publicera för din räkning.

För anslutningsappar som använder Azure Active Directory (Azure AD) OAuth innebär skapandet av en anslutning att logga in på tjänsten, till exempel Office 365, Salesforce eller GitHub, där din åtkomsttoken krypteras och lagras på ett säkert sätt i ett Hemligt Azure-arkiv. Andra anslutningsappar, till exempel FTP och SQL, kräver en anslutning som har konfigurationsinformation, till exempel serveradress, användarnamn och lösenord. Informationen om anslutningskonfigurationen krypteras och lagras på ett säkert sätt.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera Multifaktorautentisering i Azure Active Directory (Azure AD) och följ rekommendationerna för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

3.6: Använd säkra, Azure-hanterade arbetsstationer för administrativa uppgifter

Vägledning: Använd PAW (Privileged Access Workstations) med multifaktorautentisering konfigurerad för att logga in på och konfigurera Azure-resurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Använd Azure Active Directory (Azure AD) Privileged Identity Management (PIM) för generering av loggar och aviseringar när misstänkt eller osäker aktivitet inträffar i miljön.

Använd dessutom Azure AD riskidentifieringar för att visa aviseringar och rapporter om riskfyllda användarbeteenden.

Ansvar: Kund

3.8: Hantera Azure-resurser från endast godkända platser

Vägledning: Använd namngivna platser för villkorlig åtkomst för att tillåta åtkomst till Azure Portal från endast specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Dessutom har varje begärandeslutpunkt i en logikapp en signatur för delad åtkomst (SAS) i slutpunktens URL. Du kan begränsa logikappen till att endast acceptera begäranden från vissa IP-adresser.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som det centrala autentiserings- och auktoriseringssystemet för dina Azure Logic Apps-instanser. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även salter, hashvärden och lagrar autentiseringsuppgifter på ett säkert sätt.

Om det finns stöd i Logic Apps använder du en hanterad identitet för att enkelt komma åt andra resurser som skyddas av Azure AD och autentisera din identitet utan att logga in, i stället för autentiseringsuppgifter eller hemligheter. Azure hanterar den här identiteten åt dig och hjälper till att skydda dina autentiseringsuppgifter eftersom du inte måste ange eller rotera hemligheter.

Azure Logic Apps stöder både system- och användartilldelade hanterade identiteter. Logikappen kan använda antingen den systemtilldelade identiteten eller en enskild användartilldelad identitet, som du kan dela i en grupp av logikappar, men inte båda. För närvarande stöder endast specifika inbyggda utlösare och åtgärder hanterade identiteter, inte hanterade anslutningsappar eller anslutningar, till exempel:

  • HTTP
  • Azure Functions
  • Azure API Management
  • Azure App Services

Läs mer i följande referenser:

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Azure Active Directory (Azure AD) innehåller loggar som hjälper dig att identifiera inaktuella konton. Dessutom kan du använda Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt användare har fortsatt åtkomst.

Ansvar: Kund

3.11: Övervaka försök att komma åt inaktiverade autentiseringsuppgifter

Vägledning: Använd Azure Active Directory (Azure AD) som det centrala autentiserings- och auktoriseringssystemet för dina Azure Logic Apps-instanser. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även salter, hashvärden och lagrar autentiseringsuppgifter på ett säkert sätt.

Du har åtkomst till Azure AD inloggningsaktivitet, gransknings- och riskhändelseloggkällor som gör att du kan integrera med Microsoft Sentinel eller en SIEM från tredje part.

Du kan effektivisera den här processen genom att skapa diagnostikinställningar för Azure AD användarkonton och skicka granskningsloggar och inloggningsloggar till en Log Analytics-arbetsyta. Du kan konfigurera önskade loggaviseringar i Log Analytics.

Ansvar: Kund

3.12: Avisering om beteendeavvikelse för kontoinloggning

Vägledning: Använd azure Active Directory-funktioner (Azure AD) risk och identitetsskydd för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter. Du kan också mata in data i Microsoft Sentinel för vidare undersökning.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Upprätthålla en inventering av känslig information

Vägledning: Använd taggar för att spåra Azure-resurser som lagrar eller bearbetar känslig information.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Anslutningsappar som körs i den "globala" Logic Apps-tjänsten för flera klientorganisationer distribueras och hanteras av Microsoft. Dessa anslutningsappar tillhandahåller utlösare och åtgärder för åtkomst till molntjänster, lokala system eller båda, inklusive Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePoint med mera.

För logikappar som behöver direkt åtkomst till resurser i ett virtuellt Azure-nätverk kan du skapa en integrationstjänstmiljö (ISE) där du kan skapa, distribuera och köra dina logikappar på dedikerade resurser. Vissa virtuella Azure-nätverk använder privata slutpunkter (Azure Private Link) för att ge åtkomst till Azure PaaS-tjänster, till exempel Azure Storage, Azure Cosmos DB eller Azure SQL Database, partnertjänster eller kundtjänster som finns i Azure. Om dina logikappar behöver åtkomst till virtuella nätverk som använder privata slutpunkter måste du skapa, distribuera och köra dessa logikappar i en ISE.

När du skapar din ISE kan du välja att använda antingen interna eller externa åtkomstslutpunkter. Ditt val avgör om begärande- eller webhook-utlösare på logikappar i ISE kan ta emot samtal utanför det virtuella nätverket.

Implementera dessutom isolering med separata prenumerationer och hanteringsgrupper för enskilda säkerhetsdomäner, till exempel miljötyp och datakänslighetsnivå. Du kan begränsa åtkomstnivån till dina Azure-resurser som dina program och företagsmiljöer kräver. Du kan styra åtkomsten till Azure-resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC).

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: För närvarande inte tillgänglig; Funktioner för dataidentifiering, klassificering och förlustskydd är ännu inte tillgängliga för Azure Logic Apps.

Utnyttja en tredjepartslösning från Azure Marketplace på nätverksperimeter som övervakar obehörig överföring av känslig information och blockerar sådana överföringar samtidigt som informationssäkerhetspersonal varnas.

Microsoft hanterar den underliggande infrastrukturen för Azure Logic Apps och har implementerat strikta kontroller för att förhindra förlust eller exponering av kunddata.

Ansvar: Delad

4.4: Kryptera all känslig information under överföring

Vägledning: Kryptera all känslig information under överföring. I Azure Logic Apps krypteras alla data under en logikappkörning under överföring med hjälp av TLS (Transport Layer Security) och i vila. När du visar logikappens körningshistorik autentiserar Logic Apps din åtkomst och tillhandahåller sedan länkar till indata och utdata för begäranden och svar för varje körning. För åtgärder som hanterar lösenord, hemligheter, nycklar eller annan känslig information vill du dock förhindra andra från att visa och komma åt dessa data. Om logikappen till exempel får en hemlighet från Azure Key Vault att använda när du autentiserar en HTTP-åtgärd, vill du dölja hemligheten från vyn.

Begärandeutlösaren stöder endast TLS 1.2 (Transport Layer Security) för inkommande begäranden. Kontrollera att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS 1.2 eller senare. Utgående anrop med HTTP-anslutningsappen stöder TLS (Transport Layer Security) 1.0, 1.1 och 1.2.

Följ Microsoft Defender for Cloud-rekommendationer för kryptering i vila och kryptering under överföring, i förekommande fall.

Ansvar: Delad

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: I Azure Logic Apps har många utlösare och åtgärder inställningar som du kan aktivera för att skydda indata, utdata eller båda genom att dölja dessa data från en logikapps körningshistorik.

Microsoft hanterar den underliggande infrastrukturen för Azure Logic Apps och har implementerat strikta kontroller för att förhindra förlust eller exponering av kunddata.

Ansvar: Delad

4.6: Använd Azure RBAC för att styra åtkomsten till resurser

Vägledning: Du kan endast tillåta att specifika användare eller grupper kör specifika uppgifter, till exempel hantering, redigering och visning av logikappar. Om du vill kontrollera deras behörigheter använder du rollbaserad åtkomstkontroll i Azure (Azure RBAC) så att du kan tilldela anpassade eller inbyggda roller till medlemmarna i din Azure-prenumeration:

  • Logic App-deltagare: Låter dig hantera logikappar, men du kan inte ändra åtkomsten till dem.
  • Logikappoperatör: Låter dig läsa, aktivera och inaktivera logikappar, men du kan inte redigera eller uppdatera dem.

Om du vill förhindra att andra ändrar eller tar bort din logikapp kan du använda Azure Resource Lock. Den här funktionen hindrar andra från att ändra eller ta bort produktionsresurser.

Ansvar: Kund

4.8: Kryptera känslig information i vila

Vägledning: Azure Logic Apps förlitar sig på Azure Storage för att lagra och automatiskt kryptera vilande data. Den här krypteringen skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard använder Azure Storage Microsoft-hanterade nycklar för att kryptera dina data.

När du skapar en integrationstjänstmiljö (ISE) för att vara värd för dina logikappar, och du vill ha mer kontroll över de krypteringsnycklar som används av Azure Storage, kan du konfigurera, använda och hantera din egen nyckel med hjälp av Azure Key Vault. Den här funktionen kallas även "Bring Your Own Key" (BYOK) och din nyckel kallas för en "kundhanterad nyckel".

Ansvar: Kund

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Använd Azure Monitor med Azure-aktivitetsloggen för att skapa aviseringar för när ändringar sker i Azure Logic Apps samt andra kritiska eller relaterade resurser.

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management (Azure Security Benchmark: Inventory and Asset Management).

6.1: Använd automatiserad tillgångsidentifieringslösning

Vägledning: Använd Azure Resource Graph för att fråga/identifiera alla resurser (till exempel beräkning, lagring, nätverk, portar och protokoll osv.) i dina prenumerationer. Kontrollera lämpliga (läsbehörigheter) i din klientorganisation och räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Även om klassiska Azure-resurser kan identifieras via Resource Graph rekommenderar vi starkt att du skapar och använder Azure Resource Manager resurser framöver.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Tillämpa taggar på Azure-resurser som ger metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra Azure-resurser. Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

Använd dessutom Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Läs mer i följande referenser:

Ansvar: Kund

6.4: Definiera och underhålla inventeringen av godkända Azure-resurser

Vägledning: Skapa en inventering av godkända Azure-resurser (till exempel anslutningsappar) och godkänd programvara för beräkningsresurser enligt organisationens behov.

Obs! På grund av Googles data- och sekretesspolicyer kan du endast använda Gmail-anslutningsappen med Google-godkända tjänster. Den här situationen utvecklas och kan påverka andra Google-anslutningsappar i framtiden.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer.

Använd Azure Resource Graph för att fråga/identifiera resurser i deras prenumerationer. Kontrollera att alla Azure-resurser som finns i miljön är godkända.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Läs mer i följande referenser:

Ansvar: Kund

6.10: Underhåll en inventering av godkända programvarutitlar

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för beräkningsresurser.

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Konfigurera villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Ansvar: Kund

6.12: Begränsa användarnas möjlighet att köra skript i beräkningsresurser

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för beräkningsresurser.

Ansvar: Kund

6.13: Fysiskt eller logiskt avgränsa högriskprogram

Vägledning: Resurser som är relaterade till dina Logic Apps som krävs för affärsåtgärder, men som kan medföra högre risk för organisationen, bör isoleras i sin egen virtuella dator och/eller virtuella nätverk och skyddas tillräckligt med antingen en Azure Firewall eller en nätverkssäkerhetsgrupp.

Logic Apps som krävs för affärsåtgärder, men som kan medföra högre risk för organisationen, bör isoleras där det är möjligt via separata resursgrupper med specifika behörigheter och Azure RBAC-gränser.

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för dina Azure Logic Apps-instanser med Azure Policy. Använd Azure Policy alias i namnområdet "Microsoft.Logic" för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Logic Apps-instanser. Du kan till exempel blockera andra från att skapa eller använda anslutningar till resurser där du vill begränsa åtkomsten.

Dessutom har Azure Resource Manager möjlighet att exportera mallen i JavaScript Object Notation (JSON), som bör granskas för att säkerställa att konfigurationerna uppfyller/överskrider säkerhetskraven för din organisation.

Använd också skyddade parametrar för att skydda känsliga data och hemligheter.

Ansvar: Kund

7.2: Upprätta säkra operativsystemkonfigurationer

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure-resurser.

Definiera och implementera standardsäkerhetskonfigurationer för dina Azure Logic Apps-instanser med Azure Policy. Använd Azure Policy alias i namnområdet "Microsoft.Logic" för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Logic Apps-instanser. Du kan till exempel blockera andra från att skapa eller använda anslutningar till resurser där du vill begränsa åtkomsten.

Dessutom har Azure Resource Manager möjlighet att exportera mallen i JavaScript Object Notation (JSON), som bör granskas för att säkerställa att konfigurationerna uppfyller/överskrider säkerhetskraven för din organisation.

Se också till att du skyddar data i körningshistoriken med hjälp av obfuscation.

Ansvar: Kund

7.4: Underhålla säkra operativsystemkonfigurationer

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Delad

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Om du använder anpassade Azure Policy definitioner använder du Azure DevOps eller Azure Repos för att lagra och hantera koden på ett säkert sätt.

Dessutom har Azure Resource Manager möjlighet att exportera mallen i JavaScript Object Notation (JSON), som bör granskas för att säkerställa att konfigurationerna uppfyller/överskrider säkerhetskraven för din organisation.

Ansvar: Kund

7.6: Lagra anpassade operativsystemavbildningar på ett säkert sätt

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Använd inbyggda Azure Policy definitioner samt Azure Policy alias i namnområdet "Microsoft.Logic" för att skapa anpassade principer för att avisera, granska och tillämpa systemkonfigurationer. Använd Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure-resurser. Utveckla dessutom en process och pipeline för att hantera principfel.

Ansvar: Kund

7.8: Distribuera konfigurationshanteringsverktyg för operativsystem

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Kund

7.9: Implementera automatisk konfigurationsövervakning för Azure-resurser

Vägledning: Använd inbyggda Azure Policy definitioner samt Azure Policy alias i namnområdet "Microsoft.Logic" för att skapa anpassade principer för att avisera, granska och tillämpa systemkonfigurationer. Använd Azure Policy [granskning], [neka] och [distribuera om det inte finns] för att automatiskt framtvinga konfigurationer för dina Azure-resurser.

Ansvar: Kund

7.10: Implementera automatisk konfigurationsövervakning för operativsystem

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: Skydda indata och utdata i logikappens körningshistorik med hjälp av obfuscation. Om du distribuerar mellan olika miljöer bör du överväga att parameterisera värdena i logikappens arbetsflödesdefinition som varierar beroende på dessa miljöer. På så sätt kan du undvika hårdkodade data med hjälp av en Azure Resource Manager-mall för att distribuera logikappen, skydda känsliga data genom att definiera skyddade parametrar och skicka dessa data som separata indata via mallens parametrar med hjälp av en parameterfil. Du kan använda Key Vault för att lagra känsliga data och använda skyddade mallparametrar som hämtar dessa värden från Key Vault vid distributionen. Du kan sedan referera till nyckelvalvet och hemligheterna i parameterfilen.

När du skapar en integrationstjänstmiljö (ISE) för att vara värd för dina logikappar, och du vill ha mer kontroll över de krypteringsnycklar som används av Azure Storage, kan du konfigurera, använda och hantera din egen nyckel med hjälp av Azure Key Vault. Den här funktionen kallas även "Bring Your Own Key" (BYOK) och din nyckel kallas för en "kundhanterad nyckel".

Ansvar: Kund

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Vägledning: För att enkelt komma åt andra resurser som skyddas av Azure Active Directory (Azure AD) och autentisera din identitet utan att logga in kan logikappen använda en hanterad identitet (tidigare hanterad tjänstidentitet eller MSI) i stället för autentiseringsuppgifter eller hemligheter. Azure hanterar den här identiteten åt dig och hjälper till att skydda dina autentiseringsuppgifter eftersom du inte måste ange eller rotera hemligheter.

För närvarande stöder endast specifika inbyggda utlösare och åtgärder hanterade identiteter, inte hanterade anslutningsappar eller anslutningar, till exempel:

  • HTTP
  • Azure Functions
  • Azure API Management
  • Azure App Services

Läs mer i följande referenser:

Ansvar: Kund

7.13: Eliminera exponering av oavsiktliga autentiseringsuppgifter

Vägledning: Skydda indata och utdata i logikappens körningshistorik med hjälp av obfuscation. Om du distribuerar mellan olika miljöer bör du överväga att parameterisera värdena i logikappens arbetsflödesdefinition som varierar beroende på dessa miljöer. På så sätt kan du undvika hårdkodade data med hjälp av en Azure Resource Manager-mall för att distribuera logikappen, skydda känsliga data genom att definiera skyddade parametrar och skicka dessa data som separata indata via mallens parametrar med hjälp av en parameterfil. Du kan använda Key Vault för att lagra känsliga data och använda skyddade mallparametrar som hämtar dessa värden från Key Vault vid distributionen. Du kan sedan referera till nyckelvalvet och hemligheterna i parameterfilen.

Du kan också implementera Credential Scanner för att identifiera autentiseringsuppgifter i kod. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.1: Använd centralt hanterad programvara mot skadlig kod

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för beräkningsresurser. Microsofts program mot skadlig kod är aktiverat på den underliggande värden som stöder Azure-tjänster (till exempel Azure Logic Apps), men det körs inte på kundinnehåll.

Ansvar: Kund

8.2: Förgenomsöka filer som ska laddas upp till azure-resurser som inte beräknas

Vägledning: Microsoft Anti-malware är aktiverat på den underliggande värden som stöder Azure-tjänster (till exempel Azure Backup), men det körs inte på ditt innehåll.

Förgenomsök alla filer som laddas upp till azure-resurser som inte beräknas, till exempel App Service, Data Lake Storage, Blob Storage osv.

Använd Hotidentifiering i Microsoft Defender för molnet för datatjänster för att identifiera skadlig kod som laddats upp till lagringskonton.

Ansvar: Kund

8.3: Se till att programvara och signaturer mot skadlig kod uppdateras

Vägledning: Ej tillämpligt; den här riktlinjen är avsedd för beräkningsresurser.

Ansvar: Kund

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Implementera en haveriberedskapslösning (DR) så att du kan skydda data, snabbt återställa de resurser som stöder kritiska affärsfunktioner och hålla verksamheten igång för att upprätthålla affärskontinuitet (BC).

Den här haveriberedskapsstrategin fokuserar på att konfigurera din primära logikapp för redundansväxling till en logikapp för vänteläge eller säkerhetskopiering på en annan plats där Azure Logic Apps också är tillgängligt. På så sätt, om den primära drabbas av förluster, störningar eller fel, kan den sekundära ta på sig arbetet. Den här strategin kräver att din sekundära logikapp och beroende resurser redan har distribuerats och är klara på den alternativa platsen.

Dessutom bör du expandera logikappens underliggande arbetsflödesdefinition till en Azure Resource Manager-mall. Den här mallen definierar infrastruktur, resurser, parametrar och annan information för att etablera och distribuera logikappen.

Ansvar: Kund

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiera eventuella kundhanterade nycklar

Vägledning: Implementera en haveriberedskapslösning (DR) så att du kan skydda data, snabbt återställa de resurser som stöder kritiska affärsfunktioner och hålla verksamheten igång för att upprätthålla affärskontinuitet (BC).

Den här haveriberedskapsstrategin fokuserar på att konfigurera din primära logikapp för redundansväxling till en logikapp för vänteläge eller säkerhetskopiering på en annan plats där Azure Logic Apps också är tillgängligt. På så sätt, om den primära drabbas av förluster, störningar eller fel, kan den sekundära ta på sig arbetet. Den här strategin kräver att din sekundära logikapp och beroende resurser redan har distribuerats och är klara på den alternativa platsen.

Dessutom bör du expandera logikappens underliggande arbetsflödesdefinition till en Azure Resource Manager-mall. Den här mallen definierar infrastruktur, resurser, parametrar och annan information för att etablera och distribuera logikappen.

Varje begärandeslutpunkt i en logikapp har en signatur för delad åtkomst (SAS) i slutpunktens URL. Om du använder Azure Key Vault för att lagra dina hemligheter kontrollerar du regelbundna automatiska säkerhetskopior av dina nycklar och URL:er.

Ansvar: Kund

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Din strategi för haveriberedskap bör fokusera på att konfigurera din primära logikapp för redundansväxling till en logikapp för vänteläge eller säkerhetskopiering på en annan plats där Azure Logic Apps också är tillgängligt. På så sätt, om den primära drabbas av förluster, störningar eller fel, kan den sekundära ta på sig arbetet. Den här strategin kräver att din sekundära logikapp och beroende resurser redan har distribuerats och är klara på den alternativa platsen.

Teståterställning av säkerhetskopierade kundhanterade nycklar. Observera att detta endast gäller för Logic Apps som körs i integrationstjänstmiljöer (ISE).

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Din strategi för haveriberedskap bör fokusera på att konfigurera din primära logikapp för redundansväxling till en logikapp för vänteläge eller säkerhetskopiering på en alternativ plats där Azure Logic Apps också är tillgängligt. På så sätt, om den primära drabbas av förluster, störningar eller fel, kan den sekundära ta på sig arbetet. Den här strategin kräver att din sekundära logikapp och beroende resurser redan har distribuerats och är redo på den alternativa platsen.

Skydda säkerhetskopierade kundhanterade nycklar. Observera att detta endast gäller för Logic Apps som körs i integrationstjänstmiljöer (ISE).

Aktivera Soft-Delete och rensa skydd i Key Vault för att skydda nycklar mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller det mått som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom tydligt prenumerationer (t.ex. produktion, icke-prod) med hjälp av taggar och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera åtgärdandet av aviseringar baserat på allvarlighetsgraden för de Azure-resurser och den miljö där incidenten inträffade.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemens incidenthanteringsfunktioner regelbundet för att skydda dina Azure-resurser. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation om säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export för att identifiera risker för Azure-resurser. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer för att skydda dina Azure-resurser.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsofts regler för engagemang för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Delad

Nästa steg