Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági benchmark 1.0-s verziójának útmutatását alkalmazza az App Service-be. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és az App Service-hez kapcsolódó útmutató csoportosítja.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
Az App Service-re nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az App Service hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg az App Service biztonsági alapkonfiguráció-leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja az App Service nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | Számítás, web |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | True |
| Az ügyféltartalmakat inaktív állapotban tárolja | True |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Features
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatás megjegyzései: A virtuális hálózati integráció alapértelmezés szerint az App Service-környezetek használatakor van konfigurálva, de manuálisan kell konfigurálni a nyilvános több-bérlős ajánlat használatakor.
Konfigurációs útmutató: Stabil IP-cím biztosítása az internetcímek felé irányuló kimenő kommunikációhoz: A virtuális hálózat integrációs funkciójával stabil kimenő IP-címet biztosíthat. Ez lehetővé teszi a fogadó fél számára, hogy ip-cím alapján engedélyezze a listát, ha erre szükség van.
Az App Service izolált tarifacsomagban , más néven App Service-környezetben (ASE) való használatakor közvetlenül az Azure-beli virtuális hálózaton belüli alhálózaton telepítheti az alkalmazást. Használjon hálózati biztonsági csoportokat az Azure App Service-környezet védelméhez a virtuális hálózat erőforrásai felé irányuló bejövő és kimenő forgalom blokkolásával, vagy az App Service-környezetben lévő alkalmazásokhoz való hozzáférés korlátozásával.
Az App Service többletes környezetében (olyan alkalmazás, amely nem izolált szintű), engedélyezze alkalmazásai számára, hogy a Virtuális Hálózat Integráció funkció használatával a virtuális hálózaton vagy azon keresztül férhessenek hozzá az erőforrásokhoz. Ezután hálózati biztonsági csoportokkal szabályozhatja az alkalmazásból érkező kimenő forgalmat. A virtuális hálózati integráció használatakor engedélyezheti az "Összes átirányítása" konfigurációt, hogy az összes kimenő forgalom hálózati biztonsági csoportokra és felhasználó által meghatározott útvonalakra legyen kitéve az integrációs alhálózaton. Ez a funkció arra is használható, hogy letiltsa a nyilvános címekre irányuló kimenő forgalmat az alkalmazásból. A virtuális hálózati integráció nem használható alkalmazás bejövő hozzáférésének biztosítására.
Az Azure Services felé irányuló kommunikációhoz gyakran nem kell az IP-címtől függenie, és ehelyett olyan mechanikát kell használnia, mint a Szolgáltatásvégpontok.
Megjegyzés: Az App Service-környezetek esetében a hálózati biztonsági csoportok alapértelmezés szerint egy implicit megtagadási szabályt tartalmaznak a legalacsonyabb prioritásnál, és explicit engedélyezési szabályok hozzáadását igénylik. Adjon hozzá engedélyezési szabályokat a hálózati biztonsági csoporthoz a legkevésbé kiemelt hálózati megközelítés alapján. Az App Service-környezet üzemeltetéséhez használt mögöttes virtuális gépek nem érhetők el közvetlenül, mert Microsoft által felügyelt előfizetésben vannak.
Ha virtuális hálózati integrációs funkciót használ az ugyanabban a régióban lévő virtuális hálózatokkal, használjon hálózati biztonsági csoportokat és útvonaltáblákat felhasználó által megadott útvonalakkal. A felhasználó által megadott útvonalak az integrációs alhálózaton helyezhetők el, hogy a kimenő forgalmat a kívánt módon küldjék el.
Referencia: Az alkalmazás integrálása Azure-beli virtuális hálózattal
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Szolgáltatásjegyzetek: A hálózati biztonsági csoport támogatása az App Service-környezeteket használó összes ügyfél számára elérhető, de csak a nyilvános több-bérlős ajánlatot használó ügyfelek virtuális hálózatba integrált alkalmazásaihoz érhető el.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: App Service Environment hálózatkezelés
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Features
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Web Apps privát végpontjaival engedélyezheti, hogy a magánhálózaton található ügyfelek biztonságosan elérhessék az alkalmazásokat a Private Linken keresztül. A privát végpont az Azure-beli virtuális hálózat címteréből származó IP-címet használ. A magánhálózaton lévő ügyfél és a webalkalmazás közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton, így kiküszöböli a nyilvános internetről való kitettséget.
Megjegyzés: A privát végpont csak a webalkalmazásba irányuló bejövő folyamatokhoz használható. A kimenő folyamatok nem használják ezt a privát végpontot. A virtuális hálózatok integrációs funkciójával kimenő adatforgalmat továbbíthat a hálózatba egy másik alhálózaton. Az App Service-forgalom fogadó végén lévő szolgáltatások privát végpontjainak használata megakadályozza az SNAT-t, és stabil kimenő IP-tartományt biztosít.
További útmutatás: Ha az Azure Container Registryben (ACR) tárolt App Service-ben futtat konténereket, győződjön meg arról, hogy ezeket a konténerképeket magánhálózaton keresztül húzzák le. Ehhez konfiguráljon egy privát végpontot az ACR-en, amely ezeket a képeket a webalkalmazás "WEBSITE_PULL_IMAGE_OVER_VNET" alkalmazásbeállításának beállításával együtt tárolja.
Referencia: Privát végpontok használata az Azure Web Apphoz
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A nyilvános hálózati hozzáférés letiltása szolgáltatásszintű IP ACL-szűrési szabályok vagy privát végpontok használatával, vagy a publicNetworkAccess tulajdonság ARM-ben való letiltásának beállításával.
Referencia: Az Azure App Service hozzáférési korlátozásainak beállítása
NS-5: DDOS-védelem üzembe helyezése
Egyéb útmutató az NS-5-höz
Engedélyezze a DDOS Protection Standardot az App Service webalkalmazási tűzfalát futtató virtuális hálózaton. Az Azure DDoS Basic-védelmet biztosít a hálózatán, amely intelligens DDoS Standard-képességekkel fejleszthető, amely a normál forgalmi minták megismerésével és a szokatlan viselkedés észlelésével érhető el. A DDoS Standard a virtuális hálózatra vonatkozik, ezért konfigurálni kell a hálózati erőforrást az alkalmazás előtt, például az Application Gateway vagy egy NVA esetében.
NS-6: Webalkalmazási tűzfal üzembe helyezése
Egyéb útmutató az NS-6-hoz
Kerülje a WAF megkerülését az alkalmazások esetében. Győződjön meg arról, hogy a WAF nem megkerülhető úgy, hogy csak a WAF-hez való hozzáférést zárolja. Használja a hozzáférési korlátozások, a szolgáltatásvégpontok és a privát végpontok kombinációját.
Emellett az App Service-környezet védelméhez a forgalmat egy webalkalmazási tűzfalon (WAF) engedélyezett Azure Application Gatewayen vagy Az Azure Front Dooron keresztül irányíthatja.
A több-bérlős ajánlat esetében a következőkkel biztonságossá teheti az alkalmazás bejövő forgalmát:
- Hozzáférési korlátozások: a bejövő hozzáférést szabályozó engedélyezési vagy megtagadási szabályok sorozata
- Szolgáltatásvégpontok: megtagadhatják a bejövő forgalmat a megadott virtuális hálózatokon vagy alhálózatokon kívülről
- Privát végpontok: az alkalmazás közzététele a virtuális hálózaton egy privát IP-címmel. Ha az alkalmazásban engedélyezve van a privát végpontok használata, az már nem érhető el az interneten
Fontolja meg az Azure Firewall implementálását az alkalmazás- és hálózati kapcsolati szabályzatok központi létrehozására, kikényszerítésére és naplózására az előfizetésekben és a virtuális hálózatokban. Az Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózati erőforrásokhoz, amely lehetővé teszi a külső tűzfalak számára a virtuális hálózatból származó forgalom azonosítását.
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Features
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Hitelesített webalkalmazások esetén csak jól ismert identitásszolgáltatókkal hitelesítheti és engedélyezheti a felhasználói hozzáférést. Abban az esetben, ha az alkalmazást csak a saját szervezete felhasználói érhetik el, vagy ellenkező esetben a felhasználók az Azure Active Directoryt (Azure AD) használják, állítsa be az Azure AD-t alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Hitelesítés és engedélyezés az Azure App Service-ben és az Azure Functionsben
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
Konfigurációs útmutató: Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés szabályozásához.
Referencia: Hitelesítés és engedélyezés az Azure App Service-ben és az Azure Functionsben
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Features
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban és erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, rotálja és védi, elkerülve ezzel a hitelesítő adatok keménykódolását a forráskódban vagy a konfigurációs fájlokban.
A felügyelt identitás App Service-ben való használatának gyakori forgatókönyve más Azure PaaS-szolgáltatások, például az Azure SQL Database, az Azure Storage vagy a Key Vault elérése.
Referencia: Felügyelt identitások használata az App Service-hez és az Azure Functionshez
Szolgáltatásnevek
Leírás: Az adatsík szolgáltatásnevek használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
További útmutatás: Bár a szolgáltatásnéveket a szolgáltatás mintaként támogatja a hitelesítéshez, javasoljuk, hogy használja a felügyelt identitásokat, ahol csak lehetséges.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Web:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, kikapcsolva | 3.0.0 |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Features
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Features
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Győződjön meg arról, hogy az alkalmazás titkos kulcsait és hitelesítő adatait biztonságos helyeken, például az Azure Key Vaultban tárolja a rendszer ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket. Az alkalmazás felügyelt identitásának használatával biztonságosan érheti el a Key Vaultban tárolt hitelesítő adatokat vagy titkos kulcsokat.
Referencia: Key Vault-referenciák használata az App Service-hez és az Azure Functionshez
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Features
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Features
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Features
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Jellemzők megjegyzései: Implementálja a Hitelesítőadat-ellenőrzőt a buildelési folyamatban a hitelesítő adatok kódon belüli azonosításához. A credential Scanner emellett ösztönzi a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vaultba való áthelyezését.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Features
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Bár az app Service-hez még nem érhetők el adatazonosítási, besorolási és veszteségmegelőzési funkciók, csökkentheti a virtuális hálózatból származó adatkiszivárgás kockázatát az összes olyan szabály eltávolításával, ahol a cél egy "címkét" használ az internethez vagy az Azure-szolgáltatásokhoz.
A Microsoft kezeli az App Service mögöttes infrastruktúráját, és szigorú vezérlőket vezetett be az adatok elvesztésének vagy kitettségének megakadályozása érdekében.
Címkék használatával nyomon követheti a bizalmas információkat tároló vagy feldolgozó App Service-erőforrásokat.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Features
Adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A TLS 1.2-es verziójának alapértelmezett minimális verziójának használata és kényszerítése TLS/SSL-beállításokban konfigurálva az összes átvitt információ titkosításához. Győződjön meg arról is, hogy az összes HTTP-kapcsolatkérés HTTPS-ra lesz átirányítva.
Referencia: TLS/SSL-tanúsítvány hozzáadása az Azure App Service-ben
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Web:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Ellenőrzés, Letiltás, Megtagadás | 4.0.0 |
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Features
Nyugalmi állapotban lévő adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
Szolgáltatásjegyzetek: Az App Service-alkalmazások webhelytartalmai, például a fájlok az Azure Storage-ban vannak tárolva, amely automatikusan titkosítja a tartalmat inaktív állapotban. Válassza ki, hogy az alkalmazáskulcsokat a Key Vaultban tárolja, és futásidőben lekéri őket.
Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben az App Service konfigurációs adatbázisaiban vannak tárolva.
Vegye figyelembe, hogy míg a helyileg csatlakoztatott lemezeket a webhelyek opcionálisan ideiglenes tárolóként használhatják (például D:\local és %TMP%), ezek csak a nyilvános több-bérlős App Service-ajánlatban vannak titkosítva, ahol a Pv3 termékváltozat használható. Az olyan régebbi nyilvános több-bérlős méretezési egységek esetében, ahol a Pv3 termékváltozat nem érhető el, az ügyfélnek létre kell hoznia egy új erőforráscsoportot, és ott újra üzembe kell helyeznie az erőforrásait.
Emellett az ügyfél közvetlenül egy ZIP-csomagból is futtathatja az alkalmazást az App Service-ben. További információkért látogasson el a következő webhelyre: Futtassa az alkalmazást az Azure App Service-ben közvetlenül egy ZIP-csomagból.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Features
Nyugalmi állapotú adatok titkosítása CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Nyugalmi adatok titkosításának engedélyezése és megvalósítása ügyfél által kezelt kulccsal ezekhez a szolgáltatásokhoz.
Megjegyzés: Az App Service-alkalmazások webhelytartalmai, például a fájlok az Azure Storage-ban vannak tárolva, amely automatikusan titkosítja az inaktív tartalmakat. Válassza ki, hogy az alkalmazáskulcsokat a Key Vaultban tárolja, és futásidőben lekéri őket.
Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben az App Service konfigurációs adatbázisaiban vannak tárolva.
Vegye figyelembe, hogy míg a helyileg csatlakoztatott lemezeket a webhelyek opcionálisan ideiglenes tárolóként használhatják (például D:\local és %TMP%), a rendszer nem titkosítja őket inaktív állapotban.
Referencia: Inaktív titkosítás ügyfél által felügyelt kulcsokkal
DP-6: Biztonságos kulcskezelési folyamat használata
Features
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsait cserélje és vonja vissza az Azure Key Vaultban és a szolgáltatásában a meghatározott ütemezés alapján, illetve ha egy kulcsot visszavonnak vagy feltörnek. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, kövesse a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókkal (key IDs) hivatkoznak rájuk. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Key Vault-referenciák használata az App Service-hez és az Azure Functionshez
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Features
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az App Service konfigurálható SSL/TLS és egyéb tanúsítványokkal, amelyek közvetlenül az App Service-en konfigurálhatók, vagy a Key Vaultból hivatkozhatnak rá. Az összes tanúsítvány és titkos kulcs központi felügyeletének biztosítása érdekében tárolja az App Service által használt tanúsítványokat a Key Vaultban, ahelyett, hogy közvetlenül az App Service-ben helyezi üzembe őket. Ha ezt konfigurálja, az App Service automatikusan letölti a legújabb tanúsítványt az Azure Key Vaultból. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban meghatározott ütemezés vagy tanúsítvány lejárata alapján.
Referencia: TLS/SSL-tanúsítvány hozzáadása az Azure App Service-ben
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Features
Azure Policy-támogatás
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérés észlelhető az erőforrásokon. Az Azure Policy [deny] és az [üzembe helyezés, ha nem létezik] effektusokkal kényszerítheti ki a biztonságos konfigurációt az Azure-erőforrások között.
Megjegyzés: Szabványos biztonsági konfigurációk definiálása és implementálása az App Service által üzembe helyezett alkalmazásokhoz az Azure Policy használatával. A "Microsoft.Web" névtérben beépített Azure Policy-definíciók és Azure Policy-aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kényszerítéséhez. Szabályzat alóli kivételek kezelésére szolgáló folyamat és pipeline fejlesztése.
Referencia: Azure Policy szabályozási megfelelőségi vezérlők az Azure App Service-hez
AM-4: Az eszközkezeléshez való hozzáférés korlátozása
Egyéb útmutató az AM-4-hez
Elkülönítheti a bizalmas információkat feldolgozó rendszereket. Ehhez használjon külön App Service-csomagokat vagy App Service-környezeteket, és fontolja meg a különböző előfizetések vagy felügyeleti csoportok használatát.
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Features
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for App Service használatával azonosíthatja az App Service-en futó alkalmazásokat célzó támadásokat. Ha engedélyezi a Microsoft Defender for App Service szolgáltatást, azonnal élvezheti a Defender-csomag által kínált alábbi szolgáltatásokat:
Biztonságos: Az App Service-hez készült Defender felméri az App Service-csomag által lefedett erőforrásokat, és az eredmények alapján biztonsági javaslatokat hoz létre. A javaslatokban található részletes utasítások segítségével erősítse meg az App Service erőforrásait.
Észlelés: Az App Service-hez készült Defender számos fenyegetést képes felismerni az App Service-erőforrások számára, úgy, hogy figyelemmel kíséri azt a virtuális gép-példányt, amelyen az App Service működik, valamint annak kezelőfelületét, az App Service-alkalmazásokra érkező és onnan továbbított kéréseket és válaszokat, a mögöttes tesztkörnyezeteket és virtuális gépeket, valamint az App Service belső naplóit.
Referencia: Webalkalmazások és API-k védelme
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Features
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Erőforrásnaplók engedélyezése webalkalmazásokhoz az App Service-ben.
Referencia: Diagnosztikai naplózás engedélyezése alkalmazásokhoz az Azure App Service-ben
Védelmi hozzáállás és sebezhetőség kezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: A helyzet és a sebezhetőség kezelése.
PV-2: Biztonságos konfigurációk naplózása és kényszerítése
Egyéb útmutató a PV-2-hez
Kapcsolja ki a távoli hibakeresést, a távoli hibakeresés nem kapcsolható be éles számítási feladatok esetén, mivel ez további portokat nyit meg a szolgáltatáson, ami növeli a támadási felületet.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.Web:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Auditálás, kikapcsolva | 3.1.0-elhagyott |
PV-7: Rendszeres vörös csapatműveletek végrehajtása
Egyéb útmutató a PV-7-hez
A behatolástesztelési eljárás szabályait követve rendszeresen végezzen behatolástesztelést a webalkalmazásoknál.
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Features
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Lehetőség szerint implementáljon állapot nélküli alkalmazástervet a helyreállítási és biztonsági mentési forgatókönyvek egyszerűsítése érdekében az App Service-ben.
Ha valóban fenn kell tartania egy állapotalapú alkalmazást, engedélyezze a Biztonsági mentés és visszaállítás funkciót az App Service-ben, amely lehetővé teszi az alkalmazások biztonsági mentésének manuális vagy ütemezés szerinti létrehozását. A biztonsági másolatokat úgy konfigurálhatja, hogy határozatlan ideig megőrizzék. Az alkalmazást visszaállíthatja egy korábbi állapot pillanatképére a meglévő alkalmazás felülírásával vagy egy másik alkalmazásba való visszaállítással. Győződjön meg arról, hogy a rendszeres és automatizált biztonsági mentések a szervezeti szabályzatok által meghatározott gyakorisággal történnek.
Megjegyzés: Az App Service biztonsági másolatot készíthet a következő információkról egy Azure Storage-fiókra és -tárolóra, amelyet az alkalmazás használatára konfigurált:
- Alkalmazáskonfiguráció
- Fájltartalom
- Az alkalmazáshoz csatlakoztatott adatbázis
Referencia: Alkalmazás biztonsági mentése az Azure-ban
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DevOps biztonság
További információ: A Microsoft felhőbiztonsági benchmarkja: DevOps security.
DS-6: A számítási feladatok biztonságának érvényesítése a DevOps teljes életciklusa során
További útmutatás a DS-6-hoz
Kódot helyezhet üzembe az App Service-ben egy ellenőrzött és megbízható környezetből, például egy jól felügyelt és biztonságos DevOps-üzembehelyezési folyamatból. Így elkerülhető, hogy a nem verzióvezérelt és ellenőrzött kód rosszindulatú gazdagépről legyen üzembe helyezve.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További információ az Azure biztonsági alapkonfigurációiról