Base de referencia de seguridad de Azure para App Service

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a App Service. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a App Service.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.

Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Se han excluido las características no aplicables a App Service. Para ver cómo App Service se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de App Service.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de App Service, lo que puede dar lugar a un aumento de las consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Proceso, Web
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. True
Almacena el contenido del cliente en reposo True

Seguridad de las redes

Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: Virtual Network Integration se configura de forma predeterminada cuando se usan entornos de App Service, pero se deben configurar manualmente al usar la oferta pública multiinquilino.

Guía de configuración: asegúrese de una dirección IP estable para las comunicaciones salientes hacia direcciones de Internet: puede proporcionar una dirección IP de salida estable mediante la característica de integración de Virtual Network. Esto permite a la parte receptora permitir la lista basada en ip, si es necesario.

Al usar App Service en el plan de tarifa Aislado, también denominado App Service Environment (ASE), puede implementar directamente en una subred dentro de azure Virtual Network. Use grupos de seguridad de red para proteger Azure App Service Environment mediante el bloqueo del tráfico entrante y saliente de los recursos de la red virtual, o para restringir el acceso a las aplicaciones de App Service Environment.

En el App Service multiinquilino (una aplicación que no está en el nivel Aislado), habilite las aplicaciones para acceder a los recursos de o a través de un Virtual Network con la característica integración de Virtual Network. A continuación, puede usar grupos de seguridad de red para controlar el tráfico saliente desde la aplicación. Al usar Virtual Network Integration, puede habilitar la configuración "Route All" para que todo el tráfico saliente esté sujeto a grupos de seguridad de red y rutas definidas por el usuario en la subred de integración. Esta característica también se puede usar para bloquear el tráfico saliente a las direcciones públicas desde la aplicación. Integración de Virtual Network no se puede usar para proporcionar acceso de entrada a una aplicación.

En el caso de las comunicaciones con los servicios de Azure, a menudo no es necesario depender de la dirección IP y la mecánica, como los puntos de conexión de servicio, se deben usar en su lugar.

Nota: Para los entornos de App Service, de forma predeterminada, los grupos de seguridad de red incluyen una regla de denegación implícita con la prioridad más baja y requiere que se agreguen reglas de permiso explícitas. Agregue reglas de permiso para el grupo de seguridad de red según una estrategia de redes con menos privilegios. No se puede acceder directamente a las máquinas virtuales subyacentes que se usan para hospedar la instancia de App Service Environment porque se encuentran en una suscripción administrada por Microsoft.

Al usar la característica Integración de Virtual Network con redes virtuales de la misma región, utilice grupos de seguridad de red y tablas de rutas con rutas definidas por el usuario. Las rutas definidas por el usuario se pueden colocar en la subred de integración para enviar el tráfico saliente según lo previsto.

Referencia: Integración de la aplicación con una red virtual de Azure

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: La compatibilidad con grupos de seguridad de red está disponible para todos los clientes que usan entornos de App Service, pero solo está disponible en aplicaciones integradas de red virtual para los clientes que usan la oferta pública de varios inquilinos.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: redes de App Service Environment

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use puntos de conexión privados para azure Web Apps para permitir que los clientes ubicados en la red privada accedan de forma segura a las aplicaciones a través de Private Link. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual de Azure. El tráfico de red entre un cliente en la red privada y la aplicación web atraviesa la red virtual y un servicio Private Link en la red troncal de Microsoft, lo que elimina la exposición desde la red pública de Internet.

Nota: El punto de conexión privado solo se usa para los flujos entrantes a la aplicación web. Los flujos salientes no usarán este punto de conexión privado. Puede insertar flujos salientes en la red de una subred diferente mediante la característica de integración de red virtual. El uso de puntos de conexión privados para los servicios en el extremo receptor de App Service tráfico evita que SNAT se produzca y proporciona un intervalo IP de salida estable.

Guía adicional: si ejecuta contenedores en App Service que se almacenan en Azure Container Registry (ACR), asegúrese de que esas imágenes se extraen a través de una red privada. Para ello, configure un punto de conexión privado en el ACR que almacena esas imágenes junto con la configuración de la aplicación "WEBSITE_PULL_IMAGE_OVER_VNET" en la aplicación web.

Referencia: Uso de puntos de conexión privados para Azure Web App

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: deshabilite el acceso a la red pública mediante reglas de filtrado de ACL ip de nivel de servicio o puntos de conexión privados o estableciendo la publicNetworkAccess propiedad en deshabilitada en ARM.

Referencia: Configuración de restricciones de acceso Azure App Service

NS-5: Implementación de DDOS Protection

Otras instrucciones para NS-5

Habilite DDOS Protection Standard en la red virtual que hospeda el Web Application Firewall de App Service. Azure proporciona protección DDoS Basic en su red, que se puede mejorar con funcionalidades inteligentes de DDoS Standard que aprenden sobre los patrones de tráfico normales y pueden detectar comportamientos inusuales. DDoS Standard se aplica a un Virtual Network, por lo que debe configurarse para el recurso de red delante de la aplicación, como Application Gateway o una NVA.

NS-6: Implementación de un firewall de aplicaciones web

Otras instrucciones para NS-6

Evite que el WAF se omita para las aplicaciones. Asegúrese de que el WAF no se puede omitir bloqueando el acceso solo al WAF. Use una combinación de restricciones de acceso, puntos de conexión de servicio y puntos de conexión privados.

Además, proteja un App Service Environment mediante el enrutamiento del tráfico a través de una Azure Application Gateway habilitada para Web Application Firewall (WAF) o Azure Front Door.

Para la oferta multiinquilino, proteja el tráfico entrante a la aplicación con:

  • Restricciones de acceso: una serie de reglas de permiso o denegación que controlan el acceso entrante
  • Puntos de conexión de servicio: puede denegar el tráfico entrante desde fuera de las redes virtuales o subredes especificadas.
  • Puntos de conexión privados: exponga la aplicación a la Virtual Network con una dirección IP privada. Con los puntos de conexión privados habilitados en la aplicación, ya no es accesible desde Internet.

Considere implementar una instancia de Azure Firewall para crear, aplicar y registrar directivas de conectividad de red y aplicaciones de forma centralizada en las suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática para los recursos de red virtual, lo que permite que los firewalls externos identifiquen el tráfico procedente de la red virtual.

Administración de identidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: para las aplicaciones web autenticadas, use solo proveedores de identidades establecidos conocidos para autenticar y autorizar el acceso de los usuarios. En caso de que solo los usuarios de su propia organización accedan a la aplicación o, de lo contrario, todos los usuarios usen Azure Active Directory (Azure AD), configure Azure AD como el método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Autenticación y autorización en Azure App Service y Azure Functions

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Notas de características: evite el uso de cuentas o métodos de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Autenticación y autorización en Azure App Service y Azure Functions

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio cuando sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Un escenario común para usar una identidad administrada con App Service es acceder a otros servicios paaS de Azure, como Azure SQL Database, Azure Storage o Key Vault.

Referencia: Uso de identidades administradas para App Service y Azure Functions

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía adicional: Aunque el servicio admite las entidades de servicio como patrón para la autenticación, se recomienda usar identidades administradas siempre que sea posible.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: asegúrese de que los secretos y las credenciales de la aplicación se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración. Use una identidad administrada en la aplicación para acceder a las credenciales o los secretos almacenados en Key Vault de forma segura.

Referencia: Usar referencias de Key Vault para App Service y Azure Functions

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: implemente Credential Scanner en la canalización de compilación para identificar las credenciales dentro del código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida y pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: aunque las características de identificación, clasificación y prevención de pérdida de datos aún no están disponibles para App Service, puede reducir el riesgo de filtración de datos de la red virtual quitando todas las reglas en las que el destino usa una "etiqueta" para internet o servicios de Azure.

Microsoft administra la infraestructura subyacente de App Service y ha implementado controles estrictos para evitar la pérdida o exposición de sus datos.

Use etiquetas para ayudar a realizar el seguimiento de App Service recursos que almacenan o procesan información confidencial.

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use y aplique la versión mínima predeterminada de TLS v1.2, configurada en la configuración de TLS/SSL, para cifrar toda la información en tránsito. Asegúrese también de que todas las solicitudes de conexión HTTP se redirigen a HTTPS.

Referencia: Adición de un certificado TLS/SSL en Azure App Service

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: el contenido del sitio web en una aplicación de App Service, como los archivos, se almacenan en Azure Storage, que cifra automáticamente el contenido en reposo. Elija almacenar los secretos de aplicación en Key Vault y recuperarlos en tiempo de ejecución.

Los secretos suministrados por el cliente se cifran en reposo mientras se almacenan en las bases de datos de configuración de App Service.

Tenga en cuenta que, aunque los sitios web pueden usar los discos conectados localmente como almacenamiento temporal (por ejemplo, D:\local y %TMP%), solo se cifran en reposo en la oferta pública multiinquilino App Service oferta donde se puede usar la SKU Pv3. En el caso de las unidades de escalado multiinquilino públicas anteriores en las que la SKU pv3 no está disponible, el cliente debe crear un nuevo grupo de recursos y volver a implementar sus recursos allí.

Además, el cliente tiene la opción de ejecutar su aplicación en App Service directamente desde un paquete ZIP. Para obtener más información, visite: Ejecute la aplicación en Azure App Service directamente desde un paquete ZIP.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Nota: El contenido del sitio web de una aplicación de App Service, como los archivos, se almacenan en Azure Storage, que cifra automáticamente el contenido en reposo. Elija almacenar los secretos de aplicación en Key Vault y recuperarlos en tiempo de ejecución.

Los secretos suministrados por el cliente se cifran en reposo mientras se almacenan en las bases de datos de configuración de App Service.

Tenga en cuenta que, aunque los sitios web pueden usar opcionalmente los discos conectados localmente como almacenamiento temporal (por ejemplo, D:\local y% TMP%), no se cifran en reposo.

Referencia: Cifrado en reposo mediante claves administradas por el cliente

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.

Referencia: Usar referencias de Key Vault para App Service y Azure Functions

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: App Service se puede configurar con SSL/TLS y otros certificados, que se pueden configurar directamente en App Service o desde Key Vault. Para garantizar la administración central de todos los certificados y secretos, almacene los certificados usados por App Service en Key Vault en lugar de implementarlos localmente en App Service directamente. Cuando se configura App Service descargará automáticamente el certificado más reciente de Azure Key Vault. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: un tamaño de clave insuficiente, un período de validez demasiado largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault en función de una programación definida o cuando haya una expiración del certificado.

Referencia: Adición de un certificado TLS/SSL en Azure App Service

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.

Nota: Defina e implemente configuraciones de seguridad estándar para las aplicaciones implementadas App Service con Azure Policy. Use definiciones de Azure Policy integradas, así como alias Azure Policy en el espacio de nombres "Microsoft.Web" para crear directivas personalizadas para alertar, auditar y aplicar configuraciones del sistema. Desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Referencia: controles de cumplimiento normativo de Azure Policy para Azure App Service

AM-4: Limitación del acceso a la administración de recursos

Otras instrucciones para AM-4

Aísle los sistemas que procesan información confidencial. Para ello, use planes o entornos de App Service independientes y considere el uso de diferentes suscripciones o grupos de administración.

Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: use Microsoft Defender para App Service identificar ataques dirigidos a aplicaciones que se ejecutan a través de App Service. Al habilitar Microsoft Defender para App Service, se beneficia inmediatamente de los siguientes servicios que ofrece este plan de Defender:

  • Seguro: Defender para App Service evalúa los recursos cubiertos por el plan de App Service y genera recomendaciones de seguridad en función de sus conclusiones. Siga las instrucciones detalladas de estas recomendaciones para proteger los recursos de App Service.

  • Detectar: Defender para App Service detecta una gran cantidad de amenazas para los recursos de App Service mediante la supervisión de la instancia de máquina virtual en la que se ejecuta el App Service y su interfaz de administración, las solicitudes y respuestas enviadas a y desde las aplicaciones de App Service, los espacios aislados y las máquinas virtuales subyacentes, y App Service registros internos.

Referencia: Protección de las aplicaciones web y las API

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: habilite los registros de recursos para las aplicaciones web en App Service.

Referencia: Habilitación del registro de diagnóstico para aplicaciones en Azure App Service

Posición y administración de vulnerabilidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.

PV-2: Auditoría y aplicación de configuraciones seguras

Otras instrucciones para PV-2

Desactivar la depuración remota, la depuración remota no debe estar activada para cargas de trabajo de producción, ya que esto abre puertos adicionales en el servicio, lo que aumenta la superficie expuesta a ataques.

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy (Microsoft.Web) :

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[En desuso]: las aplicaciones de funciones deben tener habilitados los certificados de cliente (certificados de cliente entrantes)' Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque Http 2.0 no admite certificados de cliente. Audit, Disabled 3.1.0-desusado

PV-7: Realización de operaciones periódicas del equipo rojo

Otras instrucciones para PV-7

Realice pruebas de penetración periódicas en las aplicaciones web después de las reglas de pruebas de penetración de compromiso.

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Cliente

Guía de configuración: siempre que sea posible, implemente el diseño de aplicaciones sin estado para simplificar los escenarios de recuperación y copia de seguridad con App Service.

Si realmente necesita mantener una aplicación con estado, habilite la característica Copia de seguridad y restauración en App Service que le permite crear fácilmente copias de seguridad de aplicaciones manualmente o según una programación. Puede configurar las copias de seguridad de modo que se conserven durante un período de tiempo indefinido. Puede restaurar la aplicación a una instantánea de un estado anterior sobrescribiendo la aplicación existente o restaurando en otra aplicación. Asegúrese de que las copias de seguridad normales y automatizadas se producen con una frecuencia definida por las directivas de la organización.

Nota: App Service puede realizar una copia de seguridad de la siguiente información en una cuenta de almacenamiento y un contenedor de Azure, que ha configurado la aplicación para usarla:

  • Configuración de la aplicación
  • Contenido del archivo
  • Base de datos conectada a la aplicación

Referencia: Copia de seguridad de la aplicación en Azure

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Seguridad de DevOps

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de DevOps.

DS-6: Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps

Otras instrucciones para DS-6

Implemente código en App Service desde un entorno controlado y de confianza, como una canalización de implementación de DevOps bien administrada y protegida. Esto evita el código que no estaba controlado por la versión y comprobado para implementarse desde un host malintencionado.

Pasos siguientes