Freigeben über


Azure-Sicherheitsbaseline für Functions

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Functions an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Funktionen definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für Funktionen gelten, wurden ausgeschlossen. Informationen dazu, wie Functions vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei der Functions-Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Funktionen mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Compute, Web
Der Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert ruhende Kundeninhalte True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Funktionen

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie den Dienst in einem virtuellen Netzwerk bereit. Weisen Sie der Ressource (sofern zutreffend) private IP-Adressen zu, es sei denn, es gibt einen starken Grund, der Ressource öffentliche IP-Adressen direkt zuzuweisen.

Hinweis: Netzwerkfeatures werden vom Dienst verfügbar gemacht, müssen aber für die Anwendung konfiguriert werden. Standardmäßig ist der Zugriff auf öffentliche Netzwerke zulässig.

Referenz: Azure Functions Netzwerkoptionen

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.

Referenz: Azure Functions Netzwerkoptionen

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Funktionen

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.

Referenz: Azure Functions Netzwerkoptionen

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Azure Functions kann mit privaten Endpunkten konfiguriert werden, aber es gibt derzeit keinen einzigen Umschalter zum Deaktivieren des öffentlichen Netzwerkzugriffs, ohne dass private Endpunkte konfiguriert werden.

Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mit einem Umschaltschalter für den Zugriff auf öffentliche Netzwerke.

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Funktionen

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Kundeneigene Endpunkte können so konfiguriert werden, dass sie Azure AD-Authentifizierungsanforderungen erfordern. Vom System bereitgestellte Endpunkte für Bereitstellungsvorgänge und erweiterte Entwicklertools unterstützen Azure AD, verfügen jedoch standardmäßig über die Möglichkeit, alternativ Veröffentlichungsanmeldeinformationen zu verwenden. Diese Veröffentlichungsanmeldeinformationen können deaktiviert werden. Auf einige Endpunkte der Datenebene in der App kann über im Functions-Host konfigurierte Verwaltungsschlüssel zugegriffen werden, und diese sind derzeit nicht mit Azure AD-Anforderungen konfigurierbar.

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.

Referenz: Konfigurieren von Bereitstellungsanmeldeinformationen – Deaktivieren der Standardauthentifizierung

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Bereitstellungsanmeldeinformationen werden standardmäßig erstellt, können jedoch deaktiviert werden. Einige Vorgänge, die von der Anwendungslaufzeit verfügbar gemacht werden, können mithilfe eines Verwaltungsschlüssels ausgeführt werden, der derzeit nicht deaktiviert werden kann. Dieser Schlüssel kann in Azure Key Vault gespeichert und jederzeit neu generiert werden. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Deaktivieren der Standardauthentifizierung

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Funktionen

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Verwenden von verwalteten Identitäten für App Service und Azure Functions

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Web:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Für Endpunkte auf Datenebene, die nicht von der Anwendung definiert werden, muss der bedingte Zugriff für Azure Service Management konfiguriert werden.

Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.

Referenz: Verwenden Sie Key Vault Verweise für App Service und Azure Functions

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

Funktionen

Lokale Admin Konten

Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Funktionen

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Die einzigen Aktionen auf Datenebene, die Azure RBAC nutzen können, sind die Kudu/SCM/Bereitstellungsendpunkte. Diese erfordern eine Berechtigung für den Microsoft.Web/sites/publish/Action Vorgang. Endpunkte, die von der Kundenanwendung selbst verfügbar gemacht werden, werden von Azure RBAC nicht abgedeckt.

Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um den Azure-Ressourcenzugriff über integrierte Rollenzuweisungen zu verwalten. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.

Referenz: RBAC-Berechtigungen, die für den Zugriff auf Kudu erforderlich sind

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Funktionen

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Funktions-Apps werden standardmäßig erstellt, um TLS 1.2 als Mindestversion zu unterstützen, aber eine App kann über eine Konfigurationseinstellung mit einer niedrigeren Version konfiguriert werden. HTTPS ist standardmäßig nicht für eingehende Anforderungen erforderlich, kann aber auch über eine Konfigurationseinstellung erzwungen werden, in welchem Fall jede HTTP-Anforderung automatisch zur Verwendung von HTTPS umgeleitet wird.

Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.

Referenz: Hinzufügen und Verwalten von TLS/SSL-Zertifikaten in Azure App Service

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Web:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Funktionen

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Azure Functions unterstützt dieses Feature nicht direkt, aber eine Anwendung kann so konfiguriert werden, dass sie Dienste nutzt, die dies anstelle einer möglichen Datenspeicherung in Functions tun. Azure Files können als Dateisystem eingebunden werden, können alle App-Einstellungen, einschließlich Geheimnissen, in Azure Key Vault gespeichert werden, und Bereitstellungsoptionen wie run-from-package können Inhalte aus Azure Blob Storage abrufen.

Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Referenz: Verschlüsseln Von ruhenden Anwendungsdaten mithilfe von kundenseitig verwalteten Schlüsseln

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.

Referenz: Verwenden Key Vault Verweise für App Service und Azure Functions

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und den Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder bei einem Zertifikatablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung rotiert werden.

Referenz: Hinzufügen eines TLS/SSL-Zertifikats in Azure App Service

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Funktionen

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Defender für App Service enthält Azure Functions. Wenn diese Lösung aktiviert ist, werden Funktions-Apps unter dem Aktivierungsbereich eingeschlossen.

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Verwaltungsebene zu steuern. Wenn Sie eine Warnung von Microsoft Defender für Key Vault erhalten, untersuchen Sie die Warnung, und reagieren Sie darauf.

Referenz: Defender für App Service

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.

Referenz: Überwachen von Azure Functions mit Azure Monitor-Protokollen

Sicherung und Wiederherstellung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Backup

Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Ein Feature zum Sichern einer Anwendung ist verfügbar, wenn sie in einem Standard-, Premium- oder isolierten App Service-Plan gehostet wird. Dieses Feature nutzt nicht Azure Backup und schließt keine Ereignisquellen oder extern verknüpften Speicher ein. Weitere Informationen finden Sie unter /azure/app-service/manage-backup.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Dienstnative Sicherungsfunktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Ein Sicherungsfeature ist für Apps verfügbar, die in Standard-, Premium- und Isolierten App Service-Plänen ausgeführt werden. Dies schließt das Sichern von Ereignisquellen oder extern bereitgestellten Speicher nicht ein.

Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Referenz: Sichern und Wiederherstellen Ihrer App in Azure App Service

Nächste Schritte