Freigeben über


Azure-Sicherheitsbaseline für Logic Apps

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Logic Apps an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Logik-Apps definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für Logik-Apps gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Logic Apps zum Microsoft-Cloudsicherheitstest finden Sie in der vollständigen Zuordnungsdatei der Logic Apps-Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Logik-Apps mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Integration
Der Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert ruhende Kundeninhalte True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Dieses Feature wird von App Services für das Logic Apps Standard-Angebot unterstützt. Kunden können ASE V3 auch verwenden, um Logic Apps Standard-Apps bereitzustellen.

Konfigurationsleitfaden: Stellen Sie die Logic Apps Standard-Anwendung in einem der Workflowstandard-ASPs oder ASE V3-basierten ASPs bereit. Kunden können die VNET-Integration und private Endpunkte mit den beiden oben vorgeschlagenen Optionen konfigurieren.

Referenz: Logic Apps-VNET-Integration

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Für Logic Apps Standard wird dies durch App Services und Functions unterstützt.

Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.

Hinweis: Stellen Sie die Logic Apps Standard-Anwendung in einer der WorkflowStandard-ASPs oder ASE V3-basierten ASPs bereit. Kunden können die VNET-Integration und private Endpunkte mit den beiden oben vorgeschlagenen Optionen konfigurieren. Danach können Kunden die erforderlichen NSG-Regeln für ihre Subnetze konfigurieren.

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Features

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Für Logic Apps Standard wird dies über App Services und Functions unterstützt.

Konfigurationsleitfaden: Stellen Sie die Logic Apps Standard-Anwendung in einem der Workflowstandard-ASPs oder ASE V3-basierten ASPs bereit. Kunden können die VNET-Integration und private Endpunkte mit den beiden oben vorgeschlagenen Optionen konfigurieren.

Referenz: Private Links zu Logic Apps

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Dieses Feature wird von Azure-App Services for Logic Apps Standard unterstützt.

Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke mithilfe von Logic Apps Standard in ASE v3 oder einem Standard-Workflow-App Service-Plan. Mit ASE v3 können Kunden konfigurieren, um eine interne ASE V3 auszuwählen. Mit einem regulären Workflow-Standard-App Service-Plan können Kunden den Öffentlichen Netzwerkzugriff mit aktivierten privaten Endpunkten deaktivieren.

Referenz: Verwenden privater Endpunkte für App Service Apps

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Features

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Das Feature wird in Logic Apps Consumption und Standard mit verschiedenen Modellen unterstützt, da das Logic Apps Standard-Modell zusätzlich zu App Services ausgeführt wird.

Weitere Informationen finden Sie unter Verbrauch und Standard.

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.

Referenz: Azure Logic Apps AAD-Authentifizierung

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Dieses Feature wird von Azure-App Services and Functions for Logic Apps Standard unterstützt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Beschränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.

Referenz: Authentifizierung und Autorisierung in Azure App Service und Azure Functions

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Features

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Die Authentifizierung über verwaltete Identität bei Logic Apps wird unterstützt. Darüber hinaus kann der Dienst (sowohl Verbrauch als auch Standard) die verwaltete Identität nutzen, um sich bei anderen Diensten zu authentifizieren.

Weitere Informationen finden Sie unter Logik-Apps-Authentifizierung mit verwalteter Identität.

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Authentifizierungstypen für Connectors, die die Authentifizierung unterstützen

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Der Kunde kann App Services Easy Auth verwenden, um diesen Support im Standardangebot zu konfigurieren. Oder sie können die Unterstützung der AAD-Authentifizierung im Verbrauchsangebot verwenden.

Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Referenz: AAD-Authentifizierung für Logic Apps-Anforderungstrigger

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Features

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Das Logic Apps Standard-Angebot ist das empfohlene Produkt für Kunden für alle Unternehmensintegrationsszenarien.

In Logic Apps Standard, da es auf App Services basiert, können Kunden auf ihre Geheimnisse in Key Vault mithilfe von App-Einstellungen und wiederum auf App-Einstellungen in ihren Workflows verweisen.

Weitere Informationen finden Sie unter Programmgesteuerter Zugriff auf App-Einstellungen aus Logik-Apps-Ausdrücken.

Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.

Referenz: Logic Apps Standard-App-Einstellungen

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Features

Kunden-Lockbox

Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kundensperrbox zum Überprüfen und genehmigen oder ablehnen Sie dann alle Datenzugriffsanforderungen von Microsoft.

Referenz: Logic Apps-Kundensperrbox

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Features

Verhinderung von Datenlecks/-verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Features

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Schützen Ihrer Logik-Apps

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Features

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Für das Verbrauchsangebot werden die Daten für Kunden in verwalteten Speicherkonten von Microsoft gespeichert, und die Daten werden im Ruhezustand mithilfe der Funktion "Speicherverschlüsselung ruhender Daten" verschlüsselt.

Für das Standardangebot verwalten Kunden den Speicher.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Features

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Dieses Feature wird von Logic Apps Standard unterstützt. Im Standardangebot können Kunden ihre eigenen Speicherkonten zum Speichern der Laufzeitdaten konfigurieren. Da Kunden den Speicher besitzen, können sie die CMK-Richtlinien nach Bedarf für ihre Speicherkonten konfigurieren.

Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Features

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Da Logic Apps Standard zusätzlich zu App Services und Functions ausgeführt wird, wird dieses Feature über App Services unterstützt.

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Features

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: In Logic Apps Standard wird dieses Feature durch App Services-Unterstützung unterstützt, indem auf Zertifikate aus Key Vault verwiesen wird.

Weitere Informationen finden Sie unter Importieren eines Zertifikats aus Key Vault.

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und den Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder bei einem Zertifikatablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung rotiert werden.

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Da Logic Apps Standard auf App Services ausgeführt wird, können Kunden Richtlinien ähnlich wie für App Services und Functions konfigurieren. Darüber hinaus sind auch logic Apps-spezifische Richtlinien verfügbar.

App Service integrierten Richtlinien

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Referenz: Integrierte Logik-Apps-Richtlinien

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Features

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Dieses Feature wird von App Services für Logic Apps Standard unterstützt.

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Ihre Verwaltungsebene zu steuern. Wenn Sie eine Warnung von Microsoft Defender für Key Vault erhalten, untersuchen Und reagieren Sie darauf.

Referenz: Übersicht über Defender für App Service zum Schutz Ihrer Azure App Service Web-Apps und APIs

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL Über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.

Referenz: Überwachen und Sammeln von Diagnosedaten für Workflows in Azure Logic Apps

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Features

Azure Backup

Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte