Azure 应用程序配置的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指南应用于 Azure 应用程序配置。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制根据适用于 Azure 应用程序配置的 Azure 安全基准和相关指南定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将列在 Microsoft Defender for Cloud 仪表板的“法规合规性”部分中。

当某个部分具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure 应用程序配置的控件以及建议逐字使用全局指导的控件。 要查看 Azure 应用程序配置如何完全映射到 Azure 安全基准,请参阅完整的 Azure 应用程序配置安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:Azure 应用程序配置不会将任何资源直接部署到虚拟网络。 由于服务未部署到虚拟网络中,因此无法利用某些网络功能来保护服务的内部流量,例如:网络安全组、路由表或其他网络设备(如 Azure 防火墙)。 但是,应用程序配置允许你使用专用终结点从虚拟网络安全地连接到 Azure 应用程序配置。

使用 Microsoft Sentinel 发现旧的不安全协议的使用情况,如 SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、未签名的 LDAP 绑定和 Kerberos 中的弱密码。

责任:共享

NS-2:将专用网络连接在一起

指导:Azure 应用程序配置支持使用专用终结点通过专用链接安全地发送数据。 在共置环境中,使用 Azure ExpressRoute 或 Azure 虚拟专用网 (VPN) 在 Azure 数据中心与本地基础结构之间创建专用连接。 ExpressRoute 连接并不通过公共 Internet,与典型的 Internet 连接相比,它们的可靠性更高、速度更快且延迟时间更短。 对于点到站点 VPN 和站点到站点 VPN,可使用这些 VPN 选项的任意组合以及 Azure ExpressRoute 将本地设备或网络连接到虚拟网络。

若要将 Azure 中的两个或更多虚拟网络连接在一起,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.AppConfiguration:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2

NS-3:建立对 Azure 服务的专用网络访问

指导:使用 Azure 专用链接,无需通过 Internet 即可从虚拟网络对 Azure 应用程序配置进行专用访问。

专用访问是除 Azure 服务提供的身份验证和流量安全性之外的另一项深度防护措施。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.AppConfiguration:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2

NS-4:保护应用程序和服务不受外部网络攻击

指导:通过虚拟网络访问配置值时,请保护资源免受外部网络的攻击,包括分布式拒绝服务 (DDoS) 攻击、特定于应用程序的攻击,以及未经请求和可能存在恶意的 Internet 流量。 使用 Azure 防火墙保护应用程序和服务免受来自 Internet 和其他外部位置的潜在恶意流量的侵害。 通过在 Azure 虚拟网络上启用 DDoS 标准保护,保护资产免受 DDoS 攻击。 使用 Microsoft Defender for Cloud 检测与网络相关资源有关的错误配置风险。

Azure 应用程序配置不用于运行 Web 应用程序,它提供了这些 Web 应用程序的配置。 不需要配置任何其他设置或部署任何额外的网络服务来保护其免受针对 Web 应用程序的外部网络攻击。

责任:客户

NS-6:简化网络安全规则

指导:使用 Azure 虚拟网络服务标记,在为 Azure 应用程序配置资源配置的网络安全组或 Azure 防火墙上定义网络访问控制。 在应用程序网络中创建出站流量的安全规则时,可以使用服务标记“AppConfiguration”代替特定的 IP 地址。 通过在规则的相应“源”或“目标”字段中指定服务标记名称,可允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。

责任:客户

NS-7:安全域名服务 (DNS)

指导:Azure 应用程序配置不公开其基础 DNS 配置,这些设置由 Microsoft 维护。

责任:Microsoft

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Azure 应用程序配置与 Azure 的默认标识和访问管理服务 Azure Active Directory (Azure AD) 集成。 你应该使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft 云资源,如 Azure 门户、Azure 存储、Azure 虚拟机(Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 应用程序。
  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,帮助你评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

Azure 提供下列 Azure 内置角色,用于使用 Azure AD 和 OAuth 授予对应用程序配置数据的访问权限:

  • 应用程序配置数据所有者:使用此角色授予对应用程序配置数据的读取/写入/删除访问权限。 这不会授予对应用程序配置资源的访问权限。
  • 应用程序配置数据读取者:使用此角色授予对应用程序配置数据的读取访问权限。 这不会授予对应用程序配置资源的访问权限。
  • 参与者:使用此角色管理应用程序配置资源。 虽然可以使用访问密钥访问应用程序配置数据,但此角色不会使用 Azure AD 授予对数据的直接访问权限。
  • 读者:使用此角色授予对应用程序配置资源的读取访问权限。 这不会授予对资源的访问密钥的访问权限,也不会授予对存储在应用程序配置中的数据的访问权限。

有关详细信息,请参阅以下资源:

责任:客户

IM-2:安全且自动地管理应用程序标识

指导:使用 Azure 托管标识从非人工帐户(如其他 Azure 服务)访问 Azure 应用程序配置。 建议使用 Azure 托管标识功能(而不是创建功能更强大的人工帐户来访问或执行资源),以限制管理其他凭据的需求。 还可以向 Azure 应用程序配置本身分配托管标识,以对支持 Azure Active Directory (Azure AD) 身份验证的其他 Azure 服务/资源进行本机身份验证。 这对于检索机密时从应用程序配置轻松访问 Azure Key Vault 非常有用。 使用托管标识时,该标识由 Azure 平台托管,不需要你预配或轮换任何机密。

Azure 应用程序配置支持向应用程序授予两种类型的标识:

  • 配置资源绑定了一个系统分配的标识。 如果删除配置资源,则标识将一并删除。 一个配置资源只能有一个系统分配的标识。
  • 用户分配的标识是可以分配给配置资源的独立 Azure 资源。 一个配置资源可以有多个用户分配的标识。

无法利用托管标识时,可以在 Azure 应用程序配置资源级别创建具有受限权限的服务主体。 使用证书凭据配置这些服务主体,并仅回退到客户端机密。 在这两种情况下,都可以将 Azure Key Vault 与 Azure 托管标识结合使用,以便运行时环境(例如 Azure 函数)可以从密钥保管库中检索凭据。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:Azure 应用程序配置使用 Azure Active Directory (Azure AD) 来提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 此内容包括企业标识(例如员工)以及外部标识(如合作伙伴和供应商)。 Azure AD 允许单一登录 (SSO) 使用任何同步的公司 Active Directory 标识通过 Azure 门户管理应用程序配置服务。 将所有用户、应用程序和设备连接到 Azure AD,实现无缝的安全访问和更好的可见性和控制。

责任:客户

IM-7:消除意外的凭据透露

指导:Azure 应用程序配置允许客户存储可能包含标识或机密的配置。 建议实现凭据扫描程序来识别配置中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

将 Azure 应用程序配置服务与 Azure Key Vault 配合使用。 在 Key Vault 中存储任何凭据,并通过在应用程序配置资源中创建 Key Vault 引用来链接到这些凭据。 当应用程序配置创建这些引用时,它会存储 Key Vault 值的 URI,而不是值本身。 应用程序可以连接到应用程序配置,从 Key Vault 检索任何凭据。

对于 GitHub,你可以使用原生的机密扫描功能来识别代码中的凭据或其他形式的机密。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-1:保护和限制具有较高权限的用户

指导:请限制高特权帐户或角色的数量并在提升的级别保护这些帐户,因为具有此特权的用户可以直接或间接地读取和修改 Azure 环境中的每个资源。

可使用 Azure AD Privileged Identity Management (PIM) 启用对 Azure 资源和 Azure Active Directory (Azure AD) 的实时 (JIT) 特权访问。 JIT 仅在用户需要执行特权任务时授予临时权限。 当 Azure AD 组织中存在可疑或不安全的活动时,PIM 还会生成安全警报。

访问密钥具有很高的特权,作为一种安全最佳做法,应定期进行轮换。 访问密钥包含连接字符串,其中包含凭据信息,该信息被视为机密信息。 这些机密需要存储在 Azure Key Vault 中,你的代码必须向 Key Vault 进行身份验证才能检索这些机密。 访问密钥可授予对应用程序的读写或只读访问权限。 确保颁发正确类型的访问密钥,以防止未经授权的访问。 若要提高安全性,请使用 Azure AD 中的托管标识功能。 这只要求应用程序具有配置终结点 URL 来访问配置值。

责任:客户

PA-3:定期审查和协调用户访问权限

指导:Azure 应用程序配置使用 Azure Active Directory (Azure AD) 帐户来定期管理其资源、审阅用户帐户和访问权限分配,以确保帐户及其访问权限有效。

Azure 提供下列 Azure 内置角色,用于使用 Azure AD 和 OAuth 授予对应用程序配置数据的访问权限:

  • 应用程序配置数据所有者:使用此角色授予对应用程序配置数据的读取/写入/删除访问权限。 这不会授予对应用程序配置资源的访问权限。

  • 应用程序配置数据读取者:使用此角色授予对应用程序配置数据的读取访问权限。 这不会授予对应用程序配置资源的访问权限

可使用 Azure AD 访问评审来审查组成员身份、对企业应用程序的访问权限和角色分配,如上述应用程序配置角色。 Azure AD 报告提供日志来帮助发现过时的帐户。 你还可使用 Azure AD Privileged Identity Management 来创建访问评审报表工作流以便于执行评审。

注意:如果可能,建议使用托管标识从其他服务或应用程序对应用程序配置进行身份验证。 使用时,你将需要分别管理配置有应用程序配置访问权限的任何服务主体或连接字符串。

责任:客户

PA-6:使用特权访问工作站

指导:安全的独立工作站对于确保敏感角色(如管理员、开发人员和关键服务操作员)的安全至关重要。 使用高度安全的用户工作站和/或 Azure Bastion 执行与应用程序配置相关的管理任务。 使用 Azure Active Directory (Azure AD)、Microsoft Defender 高级威胁防护 (ATP) 和/或 Microsoft Intune 来部署安全的托管用户工作站,以便执行管理任务。 可通过集中管理安全的工作站来强制实施安全配置,包括强身份验证、软件和硬件基线、受限的逻辑和网络访问。

责任:客户

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:Azure 应用程序配置已与 Azure 基于角色的访问控制 (RBAC) 集成,以管理其资源。 使用 Azure RBAC,可通过角色分配来管理 Azure 资源访问。 可以将这些角色分配给用户、组服务主体和托管标识。 Azure 应用程序配置具有预定义的内置角色,可以通过工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。 通过 Azure RBAC 分配给资源的特权应始终限制为角色所需的特权。 这是对 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 的实时 (JIT) 方法的补充,应定期进行审查。

Azure 提供下列 Azure 内置角色,用于使用 Azure AD 和 OAuth 授予对应用程序配置数据的访问权限:

  • 应用程序配置数据所有者:使用此角色授予对应用程序配置数据的读取/写入/删除访问权限。 这不会授予对应用程序配置资源的访问权限。
  • 应用程序配置数据读取者:使用此角色授予对应用程序配置数据的读取访问权限。 这不会授予对应用程序配置资源的访问权限。

请使用内置角色来分配权限,仅在必要时创建自定义角色。

应用程序配置支持在一个应用程序配置资源中存储多个应用程序的配置。 若要限制应用程序之间的信息访问,请为每个应用程序创建一个应用程序配置资源,并相应地设置 Azure RBAC。

责任:客户

PA-8:选择 Microsoft 支持的审批流程

指导:对 Microsoft 可能需要访问应用程序配置数据的支持场景实施组织审批流程。 客户密码箱当前不适用于应用程序配置支持场景。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-1:对敏感数据进行发现、分类和标记

指导:对敏感数据进行发现、分类和标记,以便设计合适的控件,确保组织的技术系统能够安全地存储、处理和传输敏感信息。 应用程序配置资源支持以标记的形式标记敏感信息,但不支持标记它们中包含的配置值。 应用程序具有对配置存储的读取或读/写访问权限后,它就完全有权访问该存储中的任何配置。

责任:客户

DP-2:保护敏感数据

指导:对于由 Microsoft 管理的基础平台,Microsoft 将所有客户内容视为敏感内容,并防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据始终安全,Microsoft 实施了一些默认的数据保护控制机制和功能。 确保定期将访问密钥轮换到应用程序配置资源。 连接字符串中的凭据信息可以存储在 Azure Key Vault 中,你的代码必须向 Key Vault 进行身份验证才能检索这些机密。 访问密钥可授予对应用程序的读写或只读访问权限。 确保颁发正确类型的访问密钥,以防止未经授权的访问。 若要更安全,请使用 Azure Active Directory (Azure AD) 中的托管标识功能。 这只要求应用程序具有配置终结点 URL 来访问配置值。

使用 Azure 基于角色的访问控制 (Azure RBAC) 限制访问:

  • 将敏感数据分隔到其本身的应用程序配置资源中,并相应地分配 RBAC 策略,以便仅启用授权的访问
  • 使用基于网络的访问控制
  • Azure 服务中的特定控件(例如 SQL 和其他数据库中的加密)并确保一致的访问控制,所有类型的访问控制都应与企业分段策略保持一致。
  • 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。

有关详细信息,请参阅以下资源:

责任:共享

DP-3:监视未经授权的敏感数据传输

指南:监视是否有向企业可见和控制范围以外的位置进行未经授权的数据传输。 这通常涉及监视那些可能意味着未经授权的数据外泄的异常活动(大型或异常传输)。

Azure 应用配置本身不会监视未经授权的敏感数据传输,而是依赖于 Microsoft 管理的基础平台进行这些功能。 应用程序配置可与支持 Defender for 密钥保管库 警报的 Azure 密钥保管库结合使用。

Azure 信息保护 (AIP) 提供的监视功能针对已分类并标记的信息。

如果要求满足数据丢失防护 (DLP) 规范,可以使用基于主机的 DLP 解决方案来强制实施检测性的和/或预防性的控制,以防止数据外泄。

责任:Microsoft

DP-4:加密传输中的敏感信息

指导:为了对访问控制进行补充,应使用加密保护传输中的数据,以免遭受“带外”攻击。 这有助于确保攻击者无法轻松读取或修改数据。

Azure 应用程序配置对所有 HTTP 请求使用 TLS 加密。 Azure 基础结构为 Azure 数据中心之间的所有请求提供额外的网络级加密层。 对于 HTTP 流量,请确保连接到应用程序配置资源的任何客户端都能协商 TLS v1.2 或更高版本。

责任:共享

DP-5:加密静态敏感数据

指导:为了对访问控制进行补充,应使用加密保护静态数据,以免遭受“带外”攻击(例如访问底层存储)。 这有助于确保攻击者无法轻松读取或修改数据。

默认情况下,Azure 提供静态数据加密。 对于高度敏感的数据,你可以选择在所有可用的 Azure 资源上进行额外的静态加密。 默认情况下,Azure 管理你的加密密钥,但是 Azure 为 Azure 应用程序配置提供了管理你自己的密钥(客户管理的密钥)的选项。

责任:客户

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,方便他们使用 Microsoft Defender for Cloud 监视安全风险。

根据安全团队责任划分方式的不同,监视安全风险可能是中心安全团队或本地团队的责任。 也就是说,安全见解和风险必须始终在组织内集中聚合。

安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。

注意:若要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-2:确保安全团队有权访问资产清单和元数据

指导:确保安全团队有权访问 Azure 上持续更新的资产清单,如 Azure 应用程序配置。 安全团队通常需要此清单,以评估其组织遭遇新兴风险的可能性,并根据它不断提高安全性。 创建一个 Azure Active Directory (Azure AD) 组以包含组织的授权安全团队,并向他们分配对所有 Azure 应用程序配置资源的读取权限,这可以通过在订阅中分配单个高级角色来简化。

Microsoft Defender for Cloud 清单功能和 Azure Resource Graph 可以查询和发现订阅中的所有资源,包括 Azure 服务、应用程序和网络资源。

将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:Azure 应用程序配置使用 Azure Policy 支持基于 Azure 资源管理器的部署和配置强制执行。 请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:应用程序配置与 Azure Active Directory (Azure AD) 集成。 这提供以下用户日志,可在 Azure AD 报告中进行查看,也可将这些日志与 Azure Monitor、Microsoft Sentinel 或其他 SIEM/监视工具集成,以用于更复杂的监视和分析用例:

  • 登录 - 登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。
  • 审核日志 - 通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
  • 风险登录 - 风险登录是指可能由非用户帐户合法拥有者进行的登录尝试。
  • 已标记为存在风险的用户 - 风险用户是指可能已泄露的用户帐户。

Microsoft Defender for Cloud 还可针对某些可疑活动发出警报,例如,失败的身份验证尝试次数过多和使用了订阅中的已弃用帐户。 除了基本的安全运行监视以外,Microsoft Defender for Cloud 的威胁防护模块还可以收集 Azure 服务层的更深入安全警报。 可通过此功能查看各个资源内的帐户异常情况。

获取对应用程序配置配置资源的访问权限的另一种方法是使用访问密钥。 需要定期轮换这些密钥,以确保未授权的代理获得对配置资源的访问权限。 可以在门户中的“访问密钥”下直接进行轮换。

责任:客户

LT-3:为 Azure 网络活动启用日志记录

指导:Azure 应用程序配置不会将任何资源直接部署到虚拟网络。 但是,应用程序配置允许你使用专用终结点从虚拟网络安全地连接到 Azure 应用程序配置。 Azure 应用程序配置也不会生成或处理那些需要启用的 DNS 查询日志。

在配置的应用程序配置专用终结点上启用日志记录,以捕获:

  • 专用终结点处理的数据(传入/传出)
  • 专用链接服务处理的数据(传入/传出)
  • NAT 端口可用性

有关详细信息,请参阅以下资源:

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:自动可用的活动日志包含针对应用程序配置资源的所有写入操作(PUT、POST、DELETE),但读取操作 (GET) 除外。 活动日志可用于在进行故障排除时查找错误,或监视组织中的用户如何对资源进行修改。 对于应用程序配置,活动日志仅可用于控制平面,并由 Azure 资源管理器 (ARM) 显示。 目前不支持面向客户的应用程序配置的数据平面日志记录。 也不能配置 Azure 资源日志。

责任:客户

LT-5:集中管理和分析安全日志

指导:集中记录存储和分析来实现关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。

确保正在将 Azure 活动日志集成到中央日志记录。 通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期存档存储。

另外,请启用 Microsoft Sentinel 或第三方 SIEM,并在其中加入数据。 许多组织选择将 Microsoft Sentinel 用于“热”数据(频繁使用的数据),将 Azure 存储用于“冷”数据(不太频繁使用的数据)。

责任:客户

LT-6:配置日志存储保留期

指导:确保用于存储应用程序配置日志的所有存储帐户或 Log Analytics 工作区都根据组织的合规性规定设置了日志保留期。 将 Azure 存储、Data Lake 或 Log Analytics 工作区帐户用于长期存储和存档存储。

在 Azure Monitor 中,可根据组织的合规性规则设置 Log Analytics 工作区保持期。

责任:客户

LT-7:使用批准的时间同步源

指导:Azure 应用程序配置不支持配置自己的时间同步源。 Azure 应用程序配置服务依赖于 Microsoft 时间同步源,不会向客户公开以允许其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:Azure 应用程序配置支持 Azure Microsoft Defender for Cloud 中提供的以下特定于服务的策略,用于审核和强制执行 Azure 资源的配置。 这可以在 Microsoft Defender for Cloud 或 Azure Policy 计划中进行配置。

  • 应用程序配置应使用客户管理的密钥:客户管理的密钥通过允许管理加密密钥来提供增强的数据保护。 这通常是满足合规性要求所必需的。
  • 应用程序配置应使用专用链接:借助专用终结点连接,虚拟网络上的客户端可以通过专用链接安全地访问 Azure 应用程序配置。

你可以使用 Azure 蓝图,在单个蓝图定义中自动部署和配置服务和应用程序环境,包括 Azure 资源管理器模板、Azure RBAC 控制措施和策略。

责任:共享

PV-2:为所有 Azure 服务维护安全配置

指导:使用 Microsoft Defender for Cloud 监视配置基线并使用 Azure Policy 强制执行。 适用于应用程序配置的 Azure Policy 包括:

  • 应用程序配置应使用客户管理的密钥:客户管理的密钥通过允许管理加密密钥来提供增强的数据保护。 这通常是满足合规性要求所必需的。
  • 应用程序配置应使用专用链接:借助专用终结点连接,虚拟网络上的客户端可以通过专用链接安全地访问 Azure 应用程序配置。

有关详细信息,请参阅以下资源:

责任:共享

PV-6:执行软件漏洞评估

指导:Azure 应用程序配置是一种 PaaS 产品/服务,且不会部署面向客户的计算资源,这些资源将支持漏洞评估工具。 Microsoft 为支持应用程序配置的基础平台处理漏洞和评估。

责任:Microsoft

PV-7:快速自动修正软件漏洞

指导:Azure 应用程序配置是一种 PaaS 产品/服务。 它不会部署面向客户的计算资源,这些资源将支持漏洞评估工具。 Microsoft 为支持应用程序配置的基础平台处理漏洞和评估。

责任:Microsoft

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源进行渗透测试或红队活动,并确保修正所有关键安全发现。 请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

终结点安全性

有关详细信息,请参阅 Azure 安全基线:终结点安全性

ES-1:使用终结点检测和响应 (EDR)

指导:Azure 应用程序配置不会部署任何面向客户的计算资源,这些资源需要客户配置终结点检测和响应 (EDR) 保护。 应用程序配置的基础结构由 Microsoft 处理,其中包括反恶意软件和 EDR 处理。

责任:Microsoft

ES-2:使用集中管理的新式反恶意软件

指导:Azure 应用程序配置不会部署任何面向客户的计算资源,这些资源需要客户配置反恶意软件保护。 应用程序配置的基础结构由 Microsoft 处理,其中包括反恶意软件处理。

责任:Microsoft

ES-3:确保反恶意软件和签名已更新

指导:Azure 应用程序配置不会部署任何面向客户的计算资源,这些资源需要客户确保持续更新反恶意软件签名。 应用程序配置的基础结构由 Microsoft 处理,其中包括所有反恶意软件处理。

责任:Microsoft

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-4:减少密钥丢失风险

指导:确保你有适当的措施来防止和恢复丢失的密钥。 在 Azure Key Vault 中启用软删除和清除保护,以防止意外删除或恶意删除密钥。

责任:客户

后续步骤