Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Ez a biztonsági alapkonfiguráció a Microsoft Cloud Security Benchmark (v1.0) korábbi verzióján alapul, és elavult útmutatást tartalmazhat. A legújabb biztonsági útmutatásért tekintse meg a Functions dokumentációját.
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági mérföldkőének 1.0-s verziójának útmutatását alkalmazza a Functions szolgáltatásra. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és a Functionsre vonatkozó kapcsolódó útmutatók csoportosítják.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
A Függvényekre nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy a Functions hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg a Functions biztonsági alapkonfiguráció-leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja a Functions nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | Számítás, web |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | True |
| Az ügyféltartalmakat inaktív állapotban tárolja | True |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Features
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A szolgáltatás üzembe helyezése virtuális hálózaton. Magánhálózati IP-címeket rendelhet az erőforráshoz (ha van ilyen), kivéve, ha erős ok van arra, hogy nyilvános IP-címeket rendeljen közvetlenül az erőforráshoz.
Megjegyzés: A szolgáltatás elérhetővé teszi a hálózati funkciókat, de konfigurálni kell az alkalmazáshoz. Alapértelmezés szerint a nyilvános hálózati hozzáférés engedélyezett.
Referencia: Az Azure Functions hálózatkezelési lehetőségei
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozása a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Referencia: Az Azure Functions hálózatkezelési lehetőségei
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Features
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Privát végpontok üzembe helyezése a Private Link szolgáltatást támogató összes Azure-erőforráshoz, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Referencia: Az Azure Functions hálózatkezelési lehetőségei
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatás megjegyzései: Az Azure Functions privát végpontokkal konfigurálható, de jelenleg nincs egyetlen kapcsoló a nyilvános hálózati hozzáférés letiltására a privát végpontok konfigurálása nélkül.
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsoló használatával.
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Features
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatás megjegyzései: Az ügyfél által birtokolt végpontok konfigurálhatók úgy, hogy azure AD-hitelesítési követelményeket követeljenek meg. A rendszer által biztosított végpontok az üzembe helyezési műveletekhez és a fejlett fejlesztői eszközökhöz támogatják az Azure AD-t, de alapértelmezés szerint lehetőség van alternatív módon közzétételi hitelesítő adatok használatára is. Ezek a közzétételi hitelesítő adatok letilthatók. Előfordulhat, hogy az alkalmazás egyes adatsíkvégpontjai a Functions-gazdagépen konfigurált rendszergazdai kulcsokkal érhetők el, és ezek jelenleg nem konfigurálhatók az Azure AD követelményeivel.
Konfigurációs útmutató: Az azure Active Directory (Azure AD) használata alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Üzembehelyezési hitelesítő adatok konfigurálása – alapszintű hitelesítés letiltása
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Szolgáltatásjegyzetek: Az üzembehelyezési hitelesítő adatok alapértelmezés szerint létrejönnek, de letilthatók. Az alkalmazás futtatókörnyezete által közzétett egyes műveletek felügyeleti kulccsal végezhetők el, amely jelenleg nem tiltható le. Ez a kulcs tárolható az Azure Key Vaultban, és bármikor újra létrehozható. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Hivatkozás: Alapszintű hitelesítés letiltása
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Features
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban és erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, rotálja és védi, elkerülve ezzel a hitelesítő adatok keménykódolását a forráskódban vagy a konfigurációs fájlokban.
Referencia: Felügyelt identitások használata az App Service-hez és az Azure Functionshez
Szolgáltatási alapelvek
Leírás: Az adatsík szolgáltatásnevek használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Web:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, kikapcsolva | 3.0.0 |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Features
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatás megjegyzései: Az alkalmazás által nem definiált adatsík-végpontok esetében a feltételes hozzáférést az Azure Service Managementben kell konfigurálni.
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Features
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és hitelesítő adatok biztonságos helyeken, például az Azure Key Vaultban vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Referencia: Key Vault-referenciák használata az App Service-hez és az Azure Functionshez
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Features
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Features
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: Az Azure RBAC lehetőségeit csak az adatsíkon végrehajtott műveletek közül a Kudu/SCM/deployment végpontok használhatják ki. Ezekhez engedélyre van szükség a Microsoft.Web/sites/publish/Action művelet felett. Az ügyfélalkalmazás által közzétett végpontokra nem vonatkozik az Azure RBAC.
Konfigurációs útmutató: Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.
Hivatkozás: A Kudu eléréséhez szükséges RBAC-engedélyek
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Features
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Features
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Features
Adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: A függvényalkalmazások alapértelmezés szerint a TLS 1.2 minimális verziójának támogatásához jönnek létre, de egy alkalmazás konfigurációs beállítással alacsonyabb verzióval is konfigurálható. Alapértelmezés szerint nincs szükség HTTPS-ra a bejövő kérelmekhez, de ez konfigurációs beállítással is beállítható, ekkor a RENDSZER automatikusan átirányítja a HTTP-kéréseket a HTTPS használatára.
Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, és a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: TLS/SSL-tanúsítványok hozzáadása és kezelése az Azure App Service-ben
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Web:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Ellenőrzés, Letiltás, Megtagadás | 4.0.0 |
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Features
Nyugalmi állapotban lévő adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Features
Nyugalmi állapotú adatok titkosítása CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatás megjegyzései: Az Azure Functions nem támogatja közvetlenül ezt a funkciót, de egy alkalmazás konfigurálható úgy, hogy kihasználja azokat a szolgáltatásokat, amelyek a Functionsben bármilyen lehetséges adattárolás helyett működnek. Előfordulhat, hogy az Azure Files fájlrendszerként van csatlakoztatva, az összes alkalmazásbeállítás, beleértve a titkos kulcsokat is, az Azure Key Vaultban tárolható, és az olyan üzembehelyezési beállítások, mint a csomagból való futtatás, lekérhetik a tartalmat az Azure Blob Storage-ból.
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Nyugalmi adatok titkosításának engedélyezése és megvalósítása ügyfél által kezelt kulccsal ezekhez a szolgáltatásokhoz.
Referencia: Az alkalmazás adatainak titkosítása inaktív állapotban az ügyfél által felügyelt kulcsok használatával
DP-6: Biztonságos kulcskezelési folyamat használata
Features
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsait cserélje és vonja vissza az Azure Key Vaultban és a szolgáltatásában a meghatározott ütemezés alapján, illetve ha egy kulcsot visszavonnak vagy feltörnek. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, kövesse a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókkal (key IDs) hivatkoznak rájuk. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Key Vault-referenciák használata az App Service-hez és az Azure Functionshez
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Features
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és az Azure-szolgáltatásban (ha támogatott) meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az Azure Key Vaultban és az alkalmazásban manuális módszerekkel is elforgatja őket.
Referencia: TLS/SSL-tanúsítvány hozzáadása az Azure App Service-ben
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Features
Azure Policy-támogatás
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérés észlelhető az erőforrásokon. Az Azure Policy [deny] és az [üzembe helyezés, ha nem létezik] effektusokkal kényszerítheti ki a biztonságos konfigurációt az Azure-erőforrások között.
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Features
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkció megjegyzései: Az App Service-hez készült Defender tartalmazza az Azure Functionst. Ha ez a megoldás engedélyezve van, az engedélyezési hatókör alá tartozó függvényalkalmazások is megjelennek.
Konfigurációs útmutató: A felügyeleti sík hozzáférésének vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként. Amikor riasztást kap a Key Vaulthoz készült Microsoft Defendertől, vizsgálja meg és válaszoljon a riasztásra.
Referencia: Defender for App Service
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Features
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Erőforrásnaplók engedélyezése a szolgáltatáshoz. A Key Vault például további erőforrásnaplókat támogat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy az Azure SQL rendelkezik olyan erőforrásnaplókkal, amelyek nyomon követik az adatbázishoz érkező kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Az Azure Functions monitorozása az Azure Monitor-naplókkal
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Features
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az alkalmazások biztonsági mentésére szolgáló funkció akkor érhető el, ha standard, prémium vagy izolált App Service-csomagban üzemeltetik. Ez a funkció nem használja az Azure Backupot, és nem tartalmaz eseményforrásokat vagy külsőleg csatolt tárolót. További részletekért lásd: /azure/app-service/manage-backup.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: A biztonsági mentési funkció a Standard, Premium és Izolált App Service-csomagokban futó alkalmazások számára érhető el. Ez nem foglalja magában az eseményforrások vagy a külsőleg biztosított tárolók biztonsági mentését.
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
Referencia: Az alkalmazás biztonsági mentése és visszaállítása az Azure App Service-ben
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További információ az Azure biztonsági alapkonfigurációiról