Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf App Service an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für App Service definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Funktionen, die nicht für App Service gelten, wurden ausgeschlossen. Informationen dazu, wie App Service vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei App Service Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von App Service mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
Dienstverhaltensattribut
Wert
Produktkategorie
Compute, Web
Der Kunde kann auf HOST/Betriebssystem zugreifen
Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Featurehinweise: Virtual Network Integration ist standardmäßig bei Verwendung von App Service-Umgebungen konfiguriert, muss jedoch manuell konfiguriert werden, wenn das öffentliche mehrinstanzenfähige Angebot verwendet wird.
Konfigurationsleitfaden: Sicherstellen einer stabilen IP-Adresse für ausgehende Kommunikation mit Internetadressen: Sie können eine stabile ausgehende IP-Adresse bereitstellen, indem Sie das Virtual Network-Integrationsfeature verwenden. Dadurch kann die empfangende Partei die Zulassungsliste basierend auf der IP-Adresse zulassen, falls dies erforderlich ist.
Wenn Sie App Service im Tarif Isoliert verwenden, der auch als App Service-Umgebung (ASE) bezeichnet wird, können Sie die Bereitstellung direkt in einem Subnetz in Ihrem Azure Virtual Network. Schützen Sie Ihre Azure App Service-Umgebung mithilfe von Netzwerksicherheitsgruppen, indem Sie ein- und ausgehenden Datenverkehr an Ressourcen in Ihrem virtuellen Netzwerk blockieren oder den Zugriff auf Apps in einer App Service-Umgebung einschränken.
Ermöglichen Sie ihren Apps im mehrinstanzenfähigen App Service (eine App nicht in isolierter Ebene) den Zugriff auf Ressourcen in oder über eine Virtual Network mit der Virtual Network-Integrationsfunktion. Anschließend können Sie Netzwerksicherheitsgruppen verwenden, um ausgehenden Datenverkehr aus Ihrer App zu steuern. Wenn Sie Virtual Network Integration verwenden, können Sie die Konfiguration "Route All" aktivieren, damit der gesamte ausgehende Datenverkehr Netzwerksicherheitsgruppen und benutzerdefinierten Routen im Integrationssubnetz unterliegt. Sie können mit diesem Feature auch ausgehenden Datenverkehr von der App an öffentliche Adressen blockieren. Virtual Network-Integration kann nicht dazu verwendet werden, eingehenden Zugriff auf eine App bereitzustellen.
Für die Kommunikation mit Azure Services ist es häufig nicht erforderlich, von der IP-Adresse abhängig zu sein, und stattdessen sollten Mechaniken wie Dienstendpunkte verwendet werden.
Hinweis: Für App Service-Umgebungen enthalten Netzwerksicherheitsgruppen standardmäßig eine implizite Ablehnungsregel mit der niedrigsten Priorität, und Sie müssen explizite Zulassungsregeln hinzufügen. Fügen Sie Zulassungsregeln für Ihre Netzwerksicherheitsgruppe hinzu, und halten Sie sich dabei an einen Netzwerkansatz mit geringstmöglichen Rechten. Auf die zugrunde liegenden VMs zum Hosten der App Service-Umgebung kann nicht direkt zugegriffen werden, da sie sich in einem von Microsoft verwalteten Abonnement befinden.
Wenn Sie das Feature Virtual Network-Integration mit virtuellen Netzwerken in derselben Region verwenden, nutzen Sie Netzwerksicherheitsgruppen und Routingtabellen mit benutzerdefinierten Routen. Benutzerdefinierte Routen können im integrierten Subnetz platziert werden, damit ausgehender Datenverkehr wie vorgesehen gesendet wird.
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Featurehinweise: Netzwerksicherheitsgruppenunterstützung ist für alle Kunden verfügbar, die App Service Umgebungen verwenden, aber nur in integrierten VNET-Apps für Kunden, die das öffentliche mehrinstanzenfähige Angebot verwenden.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall).
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie private Endpunkte für Ihre Azure Web-Apps, um Clients in Ihrem privaten Netzwerk den sicheren Zugriff auf die Apps über Private Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum Ihrer Azure Virtual Network-Instanz. Der Netzwerkdatenverkehr zwischen einem Client in Ihrem privaten Netzwerk und der Web-App wird über das virtuelle Netzwerk und Private Link im Microsoft-Backbonenetzwerk geleitet, sodass keine Verfügbarmachung im öffentlichen Internet erfolgt.
Hinweis: Der private Endpunkt wird nur für eingehende Flows an Ihre Web-App verwendet. Ausgehende Flows verwenden diesen privaten Endpunkt nicht. Sie können ausgehende Flows über die VNet-Integrationsfunktion in Ihr Netzwerk in ein anderes Subnetz einfügen.
Die Verwendung privater Endpunkte für Dienste am empfangenden Ende App Service Datenverkehrs vermeidet SNAT und bietet einen stabilen ausgehenden IP-Bereich.
Zusätzliche Anleitung: Wenn Sie Container auf App Service ausführen, die in Azure Container Registry (ACR) gespeichert sind, stellen Sie sicher, dass diese Images über ein privates Netzwerk abgerufen werden. Konfigurieren Sie dazu einen privaten Endpunkt auf dem ACR, der diese Bilder speichert, und legen Sie die Anwendungseinstellung "WEBSITE_PULL_IMAGE_OVER_VNET" für Ihre Webanwendung fest.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren".
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Deaktivieren Des Öffentlichen Netzwerkzugriffs mithilfe von IP-ACL-Filterregeln auf Dienstebene oder privaten Endpunkten oder durch Festlegen der publicNetworkAccess Eigenschaft auf deaktiviert in ARM.
Aktivieren Sie DDOS Protection Standard in dem virtuellen Netzwerk, in dem die Web Application Firewall Ihres App Service gehostet wird. Azure bietet DDoS Basic-Schutz für sein Netzwerk, der mit intelligenten DDoS Standard-Funktionen verbessert werden kann, die sich mit normalen Datenverkehrsmustern vertraut machen und ungewöhnliches Verhalten erkennen können. DDoS Standard gilt für eine Virtual Network muss daher für die Netzwerkressource vor der App konfiguriert werden, z. B. Application Gateway oder ein NVA.
NS-6: Bereitstellen einer Web Application Firewall
Weitere Anleitungen für NS-6
Vermeiden Sie, dass die Web Application Firewall (WAF) für Ihre Anwendungen umgangen wird. Stellen Sie sicher, dass die WAF nicht umgangen werden kann, indem Sie den Zugriff nur auf die WAF sperren. Verwenden Sie eine Kombination aus Zugriffsbeschränkungen, Dienstendpunkten und privaten Endpunkten.
Schützen Sie außerdem einen App Service-Umgebung, indem Sie Datenverkehr über eine Web Application Firewall (WAF) weiterleiten, die Azure Application Gateway oder Azure Front Door aktiviert ist.
Für das mehrinstanzenfähige Angebot sichern Sie eingehenden Datenverkehr an Ihre App mit:
Zugriffsbeschränkungen: Eine Reihe von Regeln zum Zulassen oder Verweigern des eingehenden Zugriffs
Dienstendpunkte: können eingehenden Datenverkehr von außerhalb der angegebenen virtuellen Netzwerke oder Subnetze verweigern
Private Endpunkte: Machen Sie Ihre App für Ihre Virtual Network mit einer privaten IP-Adresse verfügbar. Wenn private Endpunkte in Ihrer App aktiviert sind, ist diese nicht mehr über das Internet verfügbar.
Erwägen Sie auch die Implementierung von Azure Firewall. Damit können Sie Richtlinien zur Anwendungs- und Netzwerkkonnektivität für alle Ihre Abonnements und virtuellen Netzwerke zentral erstellen, erzwingen und protokollieren. Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ressourcen im virtuellen Netzwerk, die es außenstehenden Firewalls ermöglicht, Datenverkehr aus Ihrem virtuellen Netzwerk zu identifizieren.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie für authentifizierte Webanwendungen nur bekannte etablierte Identitätsanbieter, um den Benutzerzugriff zu authentifizieren und zu autorisieren. Für den Fall, dass nur Benutzer Ihrer eigenen organization auf Ihre App zugreifen sollen oder andernfalls alle Benutzer Azure Active Directory (Azure AD) verwenden, konfigurieren Sie Azure AD als Standardauthentifizierungsmethode, um den Zugriff auf Ihre Datenebene zu steuern.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Beschränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Ein gängiges Szenario für die Verwendung einer verwalteten Identität mit App Service ist der Zugriff auf andere Azure PaaS-Dienste wie Azure SQL Datenbank, Azure Storage oder Key Vault.
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Zusätzliche Anleitung: Obwohl Dienstprinzipale vom Dienst als Muster für die Authentifizierung unterstützt werden, wird empfohlen, stattdessen nach Möglichkeit verwaltete Identitäten zu verwenden.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Stellen Sie sicher, dass App-Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten. Verwenden Sie eine verwaltete Identität in Ihrer App, um dann auf sichere Weise auf Anmeldeinformationen oder Geheimnisse zuzugreifen, die in Key Vault gespeichert sind.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Featurehinweise: Implementieren Sie die Überprüfung von Anmeldeinformationen in Ihrer Buildpipeline, um Anmeldeinformationen im Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Featurehinweise: Obwohl Die Features zur Datenidentifizierung, -klassifizierung und -verhinderung noch nicht für App Service verfügbar sind, können Sie das Risiko der Datenexfiltration aus dem virtuellen Netzwerk verringern, indem Sie alle Regeln entfernen, bei denen das Ziel ein "Tag" für Internet- oder Azure-Dienste verwendet.
Microsoft verwaltet die zugrunde liegende Infrastruktur für App Service und hat strenge Kontrollen implementiert, um Verluste oder Offenlegungen Ihrer Daten zu verhindern.
Verwenden Sie Tags, um die Nachverfolgung App Service Ressourcen zu unterstützen, die vertrauliche Informationen speichern oder verarbeiten.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden und erzwingen Sie die standardmäßige Mindestversion von TLS v1.2, die in den TLS/SSL-Einstellungen konfiguriert ist, um alle Informationen während der Übertragung zu verschlüsseln. Stellen Sie außerdem sicher, dass alle HTTP-Verbindungsanforderungen an HTTPS umgeleitet werden.
Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Featurehinweise: Websiteinhalte in einer App Service-App, z. B. Dateien, werden in Azure Storage gespeichert, wodurch ruhende Inhalte automatisch verschlüsselt werden. Sie können festlegen, dass Anwendungsgeheimnisse in Key Vault gespeichert werden, und diese zur Laufzeit abrufen.
Die Kundengeheimnisse werden im Ruhezustand verschlüsselt, während sie in App Service-Konfigurationsdatenbanken gespeichert sind.
Beachten Sie, dass lokal angefügte Datenträger zwar optional von Websites als temporären Speicher (z. B. D:\local und %TMP%) verwendet werden können, sie jedoch nur im Ruhezustand im öffentlichen mehrinstanzenfähigen App Service Angebot verschlüsselt werden, in dem die Pv3-SKU verwendet werden kann. Für ältere öffentliche Skalierungseinheiten mit mehreren Mandanten, bei denen die Pv3-SKU nicht verfügbar ist, muss der Kunde eine neue Ressourcengruppe erstellen und seine Ressourcen dort erneut bereitstellen.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Definieren Sie bei Bedarf für die Einhaltung gesetzlicher Bestimmungen den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Hinweis: Websiteinhalte in einer App Service-App, z. B. Dateien, werden in Azure Storage gespeichert, wodurch ruhende Inhalte automatisch verschlüsselt werden. Sie können festlegen, dass Anwendungsgeheimnisse in Key Vault gespeichert werden, und diese zur Laufzeit abrufen.
Die Kundengeheimnisse werden im Ruhezustand verschlüsselt, während sie in App Service-Konfigurationsdatenbanken gespeichert sind.
Beachten Sie, dass von Websites optional zwar lokal angefügte Datenträger als temporärer Speicher verwendet werden können (z. B. „D:\local“ und „%TMP%“), diese aber nicht im Ruhezustand verschlüsselt werden.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: App Service können mit SSL/TLS und anderen Zertifikaten konfiguriert werden, die direkt auf App Service konfiguriert oder von Key Vault aus referenziert werden können. Um die zentrale Verwaltung aller Zertifikate und Geheimnisse sicherzustellen, speichern Sie alle von App Service verwendeten Zertifikate in Key Vault, anstatt sie lokal auf App Service direkt bereitzustellen. Wenn dies konfiguriert ist, lädt App Service automatisch das neueste Zertifikat aus Azure Key Vault herunter. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein.
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Hinweis: Definieren und implementieren Sie Standardsicherheitskonfigurationen für Ihre App Service bereitgestellten Apps mit Azure Policy. Verwenden Sie integrierte Azure Policy-Definitionen sowie Azure Policy Aliase im Namespace "Microsoft.Web", um benutzerdefinierte Richtlinien zum Warnen, Überwachen und Erzwingen von Systemkonfigurationen zu erstellen. Entwickeln Sie einen Prozess und eine Pipeline zum Verwalten von Richtlinienausnahmen.
AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung
Weitere Anleitungen für AM-4
Isolieren Sie die Systeme, in denen vertrauliche Informationen verarbeitet werden. Verwenden Sie dazu separate App Service-Pläne oder App Service-Umgebungen, und ziehen Sie die Verwendung verschiedener Abonnements oder Verwaltungsgruppen in Betracht.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen.
Weitere Informationen.
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für App Service, um Angriffe auf Anwendungen zu identifizieren, die über App Service ausgeführt werden. Wenn Sie Microsoft Defender für App Service aktivieren, profitieren Sie umgehend von den folgenden Diensten, die im Rahmen dieses Defender-Plans angeboten werden:
Sicher: Defender für App Service bewertet die Ressourcen, die von Ihrem App Service-Plan abgedeckt sind, und generiert Sicherheitsempfehlungen basierend auf den Ergebnissen. Verwenden Sie die ausführlichen Anweisungen in diesen Empfehlungen, um die Sicherheit Ihrer App Service-Ressourcen zu verbessern.
Erkennen: Defender für App Service erkennt eine Vielzahl von Bedrohungen für Ihre App Service Ressourcen, indem die VM-instance, in der Ihr App Service ausgeführt wird, und die Verwaltungsschnittstelle, die Anforderungen und Antworten, die an und von Ihren App Service-Apps gesendet werden, die zugrunde liegenden Sandboxen und VMs überwacht werden, und App Service interne Protokolle.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für Ihre Web-Apps auf App Service.
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
Weitere Anleitungen für PV-2
Deaktivieren Sie das Remotedebuggen. Das Remotedebuggen darf für Produktionsworkloads nicht aktiviert werden, da dadurch zusätzliche Ports für den Dienst geöffnet werden, was die Angriffsfläche erhöht.
Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da Http 2.0 keine Clientzertifikate unterstützt.
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Customer
Konfigurationsleitfaden: Implementieren Sie nach Möglichkeit zustandsloses Anwendungsdesign, um Wiederherstellungs- und Sicherungsszenarien mit App Service zu vereinfachen.
Wenn Sie wirklich eine zustandsbehaftete Anwendung verwalten müssen, aktivieren Sie die Funktion Zum Sichern und Wiederherstellen in App Service mit der Sie App-Sicherungen ganz einfach manuell oder nach einem Zeitplan erstellen können. Sie können die Sicherungen so konfigurieren, dass Sie für einen bis zu unbestimmten Zeitraum aufbewahrt werden. Sie können die App mit einer Momentaufnahme eines früheren Zustands wiederherstellen, indem Sie die vorhandene App überschreiben oder als andere App wiederherstellen. Stellen Sie sicher, dass regelmäßige und automatisierte Sicherungen in einer Häufigkeit erfolgen, die in Ihren Organisationsrichtlinien definiert ist.
Hinweis: App Service können die folgenden Informationen in einem Azure-Speicherkonto und -Container sichern, die Sie für die Verwendung Ihrer App konfiguriert haben:
DS-6: Erzwingen der Sicherheit von Workloads während des DevOps-Lebenszyklus
Weitere Anleitungen für DS-6
Stellen Sie Code für App Service aus einer kontrollierten und vertrauenswürdigen Umgebung bereit, z. B. eine gut verwaltete und gesicherte DevOps-Bereitstellungspipeline. Dadurch wird Code vermieden, der nicht von der Version gesteuert und überprüft wurde, um von einem böswilligen Host bereitgestellt zu werden.
Erfahren Sie mehr über die Site Reliability Engineering-Methode für die Herausforderung, hohe Zuverlässigkeit sicherzustellen, und erhöhen Sie ihr Verständnis für deren Bedeutung.
Erstellen von End-to-End-Lösungen in Microsoft Azure zum Erstellen von Azure Functions-Lösungen, Implementieren und Verwalten von Web-Apps, Entwickeln von Lösungen mit Azure Storage u. v. m.
Hier sind Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy aufgelistet, die für Azure App Service verfügbar sind. Diese integrierten Richtliniendefinitionen bieten allgemeine Ansätze für die Verwaltung der Compliance Ihrer Azure-Ressourcen.
Die Azure App Configuration Sicherheitsbaseline bietet Anleitungen und Ressourcen für die Implementierung der Sicherheitsempfehlungen, die im Microsoft Cloud Security Benchmark angegeben sind.