Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a App Service. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a App Service.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a App Service. Para ver cómo App Service se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de App Service.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de App Service, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Importancia |
|---|---|
| Categoría del producto | Computación, Web |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | Cierto |
| Almacena el contenido del cliente en reposo | Cierto |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecer límites de segmentación de red
Características
Integración de red virtual
Descripción: el servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: la integración de red virtual se configura de forma predeterminada cuando se usan entornos de App Service, pero se deben configurar manualmente al usar la oferta pública de varios inquilinos.
Guía de configuración: asegúrese de una dirección IP estable para las comunicaciones salientes hacia direcciones de Internet: puede proporcionar una dirección IP de salida estable mediante la característica de integración de red virtual. Esto permite a la parte receptora permitir la lista basada en ip, en caso de que sea necesario.
Al usar App Service en el nivel de precios Aislado, también denominado App Service Environment (ASE), se puede implementar directamente en una subred dentro de Azure Virtual Network. Use grupos de seguridad de red para proteger azure App Service Environment bloqueando el tráfico entrante y saliente a los recursos de la red virtual, o para restringir el acceso a las aplicaciones en un entorno de App Service.
En App Service multiinquilino (una aplicación que no está en el nivel Aislado), habilite las aplicaciones para acceder a los recursos de o a través de una red virtual con la característica Integración de red virtual. A continuación, puede usar grupos de seguridad de red para controlar el tráfico saliente de la aplicación. Al usar la integración de red virtual, puede habilitar la configuración de "Enrutamiento todo" para que todo el tráfico saliente esté sujeto a grupos de seguridad de red y rutas definidas por el usuario en la subred de integración. Esta característica también se puede usar para bloquear el tráfico saliente a direcciones públicas desde la aplicación. La integración de red virtual no se puede usar para proporcionar acceso entrante a una aplicación.
Para las comunicaciones con los servicios de Azure, a menudo no es necesario depender de la dirección IP; en su lugar, se deben usar mecanismos como los puntos de conexión de servicio.
Nota: En el caso de los entornos de App Service, de forma predeterminada, los grupos de seguridad de red incluyen una regla de denegación implícita con la prioridad más baja y requiere que agregue reglas de permiso explícitas. Agregue reglas de permiso para el grupo de seguridad de red en función de un enfoque de red con privilegios mínimos. Las máquinas virtuales subyacentes que se usan para hospedar App Service Environment no son accesibles directamente porque están en una suscripción administrada por Microsoft.
Al usar la característica Integración de red virtual con redes virtuales en la misma región, use grupos de seguridad de red y tablas de rutas con rutas definidas por el usuario. Las rutas definidas por el usuario se pueden colocar en la subred de integración para enviar el tráfico saliente según lo previsto.
Referencia: Integración de la aplicación con una red virtual de Azure
Soporte de grupos de seguridad de red
Descripción: El tráfico de la red del servicio respeta la asignación de reglas de los grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: La compatibilidad con grupos de seguridad de red está disponible para todos los clientes que usan los entornos de App Service, pero solo está disponible en aplicaciones integradas de red virtual para los clientes que usan la oferta pública multiinquilino.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Red de App Service Environment
NS-2: Protección de servicios en la nube con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use puntos de conexión privados para Azure Web Apps para permitir que los clientes ubicados en la red privada accedan de forma segura a las aplicaciones a través de Private Link. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual de Azure. El tráfico de red entre un cliente de la red privada y la aplicación web atraviesa la red virtual y un Private Link en la red troncal de Microsoft, lo que elimina la exposición de la red pública de Internet.
Nota: El punto de conexión privado solo se usa para los flujos entrantes a la aplicación web. Los flujos salientes no usarán este punto de conexión privado. Puede inyectar flujos salientes en la red a través de una subred diferente mediante la integración con VNet. El uso de puntos de conexión privados para los servicios en el extremo receptor del tráfico de App Service evita que se produzca SNAT y proporcione un intervalo IP de salida estable.
Guía adicional: si ejecuta contenedores en App Service que se almacenan en Azure Container Registry (ACR), asegúrese de que esas imágenes se extraen a través de una red privada. Para ello, configure un punto de conexión privado en el ACR que almacena esas imágenes junto con la configuración de la aplicación "WEBSITE_PULL_IMAGE_OVER_VNET" en la aplicación web.
Referencia: Uso de puntos de conexión privados para Azure Web App
Deshabilitar el acceso a la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: deshabilite el acceso a la red pública mediante reglas de filtrado de ACL ip de nivel de servicio o puntos de conexión privados o estableciendo la publicNetworkAccess propiedad en deshabilitada en ARM.
Referencia: Configuración de restricciones de acceso de Azure App Service
NS-5: Desplegar protección contra DDOS
Otras instrucciones para NS-5
Habilite DDOS Protection Standard en la red virtual que hospeda el firewall de aplicaciones web de App Service. Azure proporciona protección básica de DDoS en su red, que se puede mejorar con funcionalidades inteligentes de DDoS Standard que aprenden sobre patrones de tráfico normales y pueden detectar comportamientos inusuales. DDoS Standard se aplica a una red virtual, por lo que debe configurarse para el recurso de red delante de la aplicación, como Application Gateway o un NVA.
NS-6: Implementación de un firewall de aplicaciones web
Otras instrucciones para NS-6
Evite que el WAF sea eludido para sus aplicaciones. Asegúrese de que el WAF no pueda ser eludido limitando el acceso exclusivamente al WAF. Use una combinación de restricciones de acceso, puntos de conexión de servicio y puntos de conexión privados.
Además, proteja un entorno de App Service mediante el enrutamiento del tráfico a través de un Azure Application Gateway con Web Application Firewall (WAF) habilitado o Azure Front Door.
Para la oferta multiinquilino, proteja el tráfico entrante a la aplicación con:
- Restricciones de acceso: una serie de reglas de permiso o denegación que controlan el acceso entrante
- Puntos de conexión de servicio: puede denegar el tráfico entrante desde fuera de las redes virtuales o subredes especificadas.
- Puntos de conexión privados: exponga la aplicación a la red virtual con una dirección IP privada. Con los puntos de conexión privados habilitados en la aplicación, ya no es accesible desde Internet.
Considere la posibilidad de implementar un Azure Firewall para crear, aplicar y registrar directivas de conectividad de red y de aplicaciones en las suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática para los recursos de red virtual, lo que permite a los firewalls externos identificar el tráfico que se origina en la red virtual.
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: para las aplicaciones web autenticadas, use solo proveedores de identidades establecidos conocidos para autenticar y autorizar el acceso de los usuarios. En caso de que los usuarios de su propia organización solo tengan acceso a la aplicación o, de lo contrario, todos los usuarios usen Azure Active Directory (Azure AD), configure Azure AD como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticación y autorización en Azure App Service y Azure Functions
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario local y una contraseña. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Autenticación y autorización en Azure App Service y Azure Functions
IM-3: Administrar identidades de aplicación de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.
Un escenario común para usar una identidad administrada con App Service es acceder a otros servicios PaaS de Azure, como Azure SQL Database, Azure Storage o Key Vault.
Referencia: Uso de identidades administradas para App Service y Azure Functions
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía adicional: Aunque el servicio admite las entidades de servicio como patrón para la autenticación, se recomienda usar identidades administradas siempre que sea posible.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Web:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada | AuditIfNotExists, Deshabilitado | 3.0.0 |
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.
IM-8: Restringir la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales de servicio y secretos con soporte en Azure Key Vault.
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: asegúrese de que los secretos y las credenciales de la aplicación se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración. Use una identidad administrada en la aplicación para acceder a las credenciales o secretos almacenados en Key Vault de forma segura.
Referencia: Uso de referencias de Key Vault para App Service y Azure Functions
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para la compatibilidad con proveedores en la nube
Características
Caja de seguridad del cliente
Descripción: La Customer Lockbox puede utilizarse para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: En escenarios de soporte técnico en los que Microsoft necesita acceder a tus datos, utiliza Customer Lockbox para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a tus datos por parte de Microsoft.
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: Detectar, clasificar y etiquetar datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de la función: Implemente Credential Scanner en su pipeline de construcción para identificar las credenciales dentro del código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de filtración/pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Notas de características: aunque las características de identificación, clasificación y prevención de pérdida de datos aún no están disponibles para App Service, puede reducir el riesgo de filtración de datos de la red virtual quitando todas las reglas en las que el destino usa una "etiqueta" para Internet o los servicios de Azure.
Microsoft administra la infraestructura subyacente para App Service y ha implementado controles estrictos para evitar la pérdida o exposición de los datos.
Use etiquetas para ayudar a realizar el seguimiento de los recursos de App Service que almacenan o procesan información confidencial.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use y aplique la versión mínima predeterminada de TLS v1.2, configurada en la configuración de TLS/SSL, para cifrar toda la información en tránsito. Asegúrese también de que todas las solicitudes de conexión HTTP se redirigen a HTTPS.
Referencia: Adición de un certificado TLS/SSL en Azure App Service
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Web:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 4.0.0 |
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Cierto | Microsoft |
Notas de características: el contenido del sitio web en una aplicación de App Service, como los archivos, se almacenan en Azure Storage, que cifra automáticamente el contenido en reposo. Elija almacenar secretos de aplicación en Key Vault y recuperarlos en tiempo de ejecución.
Los secretos proporcionados por el cliente se cifran en reposo mientras se almacenan en las bases de datos de configuración de App Service.
Tenga en cuenta que, aunque los sitios web pueden usar de forma opcional discos conectados localmente como almacenamiento temporal (por ejemplo, D:\local y %TMP%), solo se cifran en reposo en la oferta pública de App Service multiinquilino donde se puede usar la SKU pv3. En el caso de las unidades de escalado multiinquilino más antiguas en las que la SKU Pv3 no está disponible, el cliente debe crear un nuevo grupo de recursos y reimplementar sus recursos allí.
Además, el cliente tiene la opción de ejecutar su aplicación en App Service directamente desde un paquete ZIP. Para más información, visite: Ejecute la aplicación en Azure App Service directamente desde un paquete ZIP.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente para esos servicios.
Nota: El contenido del sitio web de una aplicación de App Service, como los archivos, se almacena en Azure Storage, que cifra automáticamente el contenido en reposo. Elija almacenar secretos de aplicación en Key Vault y recuperarlos en tiempo de ejecución.
Los secretos proporcionados por el cliente se cifran en reposo mientras se almacenan en las bases de datos de configuración de App Service.
Tenga en cuenta que, aunque los sitios web pueden usar los discos conectados localmente como almacenamiento temporal (por ejemplo, D:\local y %TMP%), no se cifran en reposo.
Referencia: Cifrado en reposo mediante claves administradas por el cliente
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o riesgo de claves. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Uso de referencias de Key Vault para App Service y Azure Functions
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: App Service se puede configurar con SSL/TLS y otros certificados, que se pueden configurar directamente en App Service o hacer referencia desde Key Vault. Para garantizar la administración central de todos los certificados y secretos, almacene los certificados usados por App Service en Key Vault en lugar de implementarlos localmente en App Service directamente. Cuando se configure App Service descargará automáticamente el certificado más reciente de Azure Key Vault. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez excesivamente largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault en función de una programación definida o cuando haya una expiración del certificado.
Referencia: Adición de un certificado TLS/SSL en Azure App Service
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar las configuraciones de sus recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Use los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar la configuración segura en los recursos de Azure.
Nota: Defina e implemente configuraciones de seguridad estándar para las aplicaciones implementadas de App Service con Azure Policy. Use definiciones integradas de Azure Policy, así como alias de Azure Policy en el espacio de nombres "Microsoft.Web" para crear directivas personalizadas para alertar, auditar y aplicar configuraciones del sistema. Desarrolle un proceso y una canalización para administrar excepciones de directiva.
Referencia: Controles de cumplimiento normativo de Azure Policy para Azure App Service
AM-4: Limitar el acceso a la administración de activos
Otras instrucciones para AM-4
Aísle los sistemas que procesan información confidencial. Para ello, use planes de App Service independientes o Entornos de App Service, y considere la posibilidad de usar suscripciones diferentes o grupos de administración.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de microsoft Defender para servicio o producto
Descripción: El servicio tiene una solución específica de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: use Microsoft Defender para App Service para identificar ataques dirigidos a aplicaciones que se ejecutan a través de App Service. Al habilitar Microsoft Defender para App Service, se beneficia inmediatamente de los siguientes servicios que ofrece este plan de Defender:
Seguro: Defender para App Service evalúa los recursos cubiertos por el plan de App Service y genera recomendaciones de seguridad en función de sus conclusiones. Use las instrucciones detalladas de estas recomendaciones para proteger los recursos de App Service.
Detectar: Defender para App Service detecta una gran cantidad de amenazas para los recursos de App Service mediante la supervisión de la instancia de máquina virtual en la que se ejecuta App Service y su interfaz de administración, las solicitudes y respuestas enviadas a y desde las aplicaciones de App Service, los espacios aislados y las máquinas virtuales subyacentes y los registros internos de App Service.
Referencia: Protección de las aplicaciones web y las API
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos para las aplicaciones web en App Service.
Referencia: Habilitación del registro de diagnóstico para aplicaciones en Azure App Service
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.
PV-2: Auditoría y aplicación de configuraciones seguras
Otras instrucciones para PV-2
Desactivar la depuración remota, la depuración remota no debe estar activada para cargas de trabajo de producción, ya que esto abre puertos adicionales en el servicio, lo que aumenta la superficie expuesta a ataques.
Supervisión de Microsoft Defender for Cloud
Definiciones integradas de Azure Policy: Microsoft.Web:
| Nombre (Azure Portal) |
Description | Effect(s) | Versión (GitHub) |
|---|---|---|---|
| [En desuso]: Las aplicaciones de funciones deben tener habilitado "Certificados de cliente (certificados de cliente entrantes)" | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos podrán acceder a la aplicación. Esta directiva se ha reemplazado por una nueva directiva con el mismo nombre porque Http 2.0 no admite certificados de cliente. | Auditar, Deshabilitado | 3.1.0-obsoleto |
PV-7: Realización de operaciones periódicas del equipo rojo
Otras instrucciones para PV-7
Realice pruebas de penetración periódicas en sus aplicaciones web siguiendo las reglas de compromiso para las pruebas de penetración.
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Cierto | Falso | Cliente |
Guía de configuración: siempre que sea posible, implemente el diseño de aplicaciones sin estado para simplificar los escenarios de recuperación y copia de seguridad con App Service.
Si realmente necesita mantener una aplicación con estado, habilite la característica Copia de seguridad y restauración en App Service, que le permite crear fácilmente copias de seguridad de aplicaciones manualmente o según una programación. Puede configurar las copias de seguridad que se conservarán hasta un período de tiempo indefinido. Puede restaurar la aplicación a una instantánea de un estado anterior sobrescribiendo la aplicación existente o restaurando a otra aplicación. Asegúrese de que las copias de seguridad periódicas y automatizadas se producen con una frecuencia definida por las directivas de la organización.
Nota: App Service puede realizar una copia de seguridad de la siguiente información en una cuenta de almacenamiento y un contenedor en Azure, que usted ha configurado para que su aplicación los use.
- Configuración de aplicaciones
- Contenido del archivo
- Base de datos conectada a la aplicación
Referencia: Copia de seguridad de la aplicación en Azure
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Seguridad de DevOps
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Seguridad de DevOps.
DS-6: Aplicación de la seguridad de la carga de trabajo a lo largo del ciclo de vida de DevOps
Otras instrucciones para DS-6
Implemente código en App Service desde un entorno controlado y de confianza, como una canalización de implementación de DevOps bien administrada y protegida. Esto evita el uso de código que no estaba controlado por versiones ni verificado y aprobado para implementarse desde un host malintencionado.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure