Azure-säkerhetsbaslinje för Azure Spring Apps

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure Spring Apps. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure Spring Apps.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure Spring Apps har exkluderats. Om du vill se hur Azure Spring Apps helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure Spring Apps-säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure Spring Apps, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Containrar, webb
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Sant
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta gränser för nätverkssegmentering

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera Azure Spring Apps till ditt eget virtuella nätverk under etablering av tjänstinstanser. Sedan isoleras appar och tjänstkörningar i Azure Spring Apps från det offentliga Internet.

Referens: Distribuera Azure Spring Apps i ett virtuellt nätverk

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk).

Tänk på att ett antal portar och adresser måste vara tillgängliga för underhållsaktiviteter. Se referensen.

Referens: Nätverkskrav för Azure Spring Apps

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.AppPlatform:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Gör det möjligt för Azure Spring Cloud att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, neka 1.2.0

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.

Referens: Access Config Server och Service Registry

SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

Referens: Använda hanterade identiteter för program i Azure Spring Cloud

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Access Config Server och Service Registry

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Det finns två delar i Azure Spring Apps dataplan – kundappar och hanterade komponenter. För kundappar kan de använda hanterad identitet för att komma åt Key Vault. För hanterade komponenter stöds inte Key Vault integrering ännu.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

Funktioner

Lokala Admin-konton

Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-7: Följ principen för precis tillräckligt med administration (minst behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera åtkomst till inbyggd Spring Cloud Config Server och Spring Cloud Service Registry i Azure Spring Apps. Den inbyggda rolldefinitionen och instruktionerna beskrivs i dokumentet nedan.

Referens: Access Config Server och Service Registry

PA-8: Fastställa åtkomstprocessen för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och godkänner eller avvisar sedan var och en av Microsofts dataåtkomstbegäranden.

Referens: Säkerhetskontroller för Azure Spring Cloud Service

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten stöder DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Säkerhetskontroller för Azure Spring Cloud Service

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Vilande datakryptering med plattformsnycklar

Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Säkerhetskontroller för Azure Spring Cloud Service

DP-5: Använd alternativet kundhanterad nyckel i vilodatakryptering vid behov

Funktioner

Vilande datakryptering med CMK

Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-7: Använd en säker certifikathanteringsprocess

Funktioner

Certifikathantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: När du aktiverar anpassad domän för appar i Azure Spring Apps kan kunden lagra certifikat i Azure Key Vault och importera till Azure Spring Apps för att framtvinga TLS (Transport Layer Security) mot inkommande trafik. Mer information finns i referensen.

Referens: Självstudie: Mappa en befintlig anpassad domän till Azure Spring Cloud

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera olika typer av resursloggar i Azure Spring Apps, inklusive konsolloggar för kundappar, hanterade komponentloggar, ingressloggar och skapa aktivitetsloggar.

Mer information finns i referensen.

Referens: Analysera loggar och mått med diagnostikinställningar

Säkerhetskopiering och återställning

Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tjänstens interna säkerhetskopieringsfunktion

Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Nästa steg