Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Garis besar keamanan ini didasarkan pada versi Microsoft Cloud Security Benchmark (v1.0) sebelumnya dan mungkin berisi panduan yang kedaluarsa. Untuk panduan keamanan terbaru, lihat dokumentasi App Service.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke App Service. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk App Service.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender for Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Nota
Fitur yang tidak berlaku untuk App Service telah dikecualikan. Untuk melihat bagaimana App Service sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan App Service lengkap.
Profil keamanan
Profil keamanan merangkum perilaku App Service yang berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Komputasi, Web |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | Benar |
| Menyimpan konten pelanggan saat tidak aktif | Benar |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Menetapkan batas segmentasi jaringan
Features
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Integrasi Jaringan Virtual dikonfigurasi secara default saat menggunakan Lingkungan App Service tetapi harus dikonfigurasi secara manual saat menggunakan penawaran multi-penyewa publik.
Panduan Konfigurasi: Pastikan IP yang stabil untuk komunikasi keluar ke alamat internet: Anda dapat menyediakan IP keluar yang stabil dengan menggunakan fitur integrasi Virtual Network. Ini memungkinkan pihak penerima untuk mengizinkan daftar berdasarkan IP, jika diperlukan.
Saat menggunakan App Service di level harga Terisolasi, juga disebut Lingkungan App Service (ASE), Anda dapat menerapkan langsung ke subnet dalam Jaringan Virtual Azure Anda. Gunakan grup keamanan jaringan untuk mengamankan Lingkungan Azure App Service Anda dengan memblokir lalu lintas masuk dan keluar ke sumber daya di jaringan virtual Anda, atau untuk membatasi akses ke aplikasi di Lingkungan App Service.
Di Layanan Aplikasi multi-penyewa (aplikasi yang tidak berada pada tingkat yang terisolasi), memungkinkan aplikasi Anda untuk mengakses sumber daya di atau melalui Jaringan Virtual dengan menggunakan fitur Integrasi Jaringan Virtual. Anda kemudian dapat menggunakan grup keamanan jaringan untuk mengontrol lalu lintas keluar dari aplikasi Anda. Saat menggunakan Integrasi Virtual Network, Anda dapat mengaktifkan konfigurasi 'Rutekan Semua' untuk membuat semua lalu lintas keluar tunduk pada grup keamanan jaringan dan rute yang ditentukan pengguna pada subnet integrasi. Fitur ini juga dapat digunakan untuk memblokir lalu lintas keluar ke alamat publik dari aplikasi. Integrasi Virtual Network tidak dapat digunakan untuk menyediakan akses masuk ke aplikasi.
Untuk komunikasi terhadap Azure Services sering kali tidak perlu bergantung pada alamat IP dan mekanisme seperti Titik Akhir Layanan harus digunakan sebagai gantinya.
Catatan: Untuk Lingkungan App Service, secara default, grup keamanan jaringan menyertakan aturan penolakan implisit dengan prioritas terendah dan mengharuskan Anda menambahkan aturan izin eksplisit. Tambahkan aturan perizinan untuk grup keamanan jaringan Anda berdasarkan pendekatan jaringan berhak akses paling sedikit. Komputer virtual yang mendasar yang digunakan untuk menghosting Lingkungan App Service tidak dapat diakses secara langsung karena berada dalam langganan yang dikelola Microsoft.
Saat menggunakan fitur Integrasi Jaringan Virtual dengan jaringan virtual di wilayah yang sama, gunakan grup keamanan jaringan dan tabel rute dengan rute yang ditentukan pengguna. Rute yang ditentukan pengguna dapat ditempatkan pada subnet integrasi untuk mengirim lalu lintas keluar seperti yang dimaksudkan.
Referensi: Mengintegrasikan aplikasi Anda dengan jaringan virtual Azure
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan mematuhi penetapan aturan Kelompok Keamanan Jaringan di subnetnya. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Catatan fitur: Dukungan Grup Keamanan Jaringan tersedia untuk semua pelanggan yang menggunakan Lingkungan App Service tetapi hanya tersedia di aplikasi terintegrasi VNet untuk pelanggan yang menggunakan penawaran multi-penyewa publik.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Jaringan Lingkungan App Service
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Features
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan titik akhir privat untuk Azure Web Apps Anda untuk memungkinkan klien yang terletak di jaringan privat Anda mengakses aplikasi dengan aman melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat Azure VNet Anda. Lalu lintas jaringan antara klien di jaringan privat Anda dan Aplikasi Web melintasi VNet dan Private Link di jaringan backbone Microsoft, menghilangkan paparan dari Internet publik.
Catatan: Titik Akhir Privat hanya digunakan untuk alur masuk ke Aplikasi Web Anda. Alur keluar tidak akan menggunakan Titik Akhir Privat ini. Anda dapat menyuntikkan alur keluar ke jaringan Anda di subnet yang berbeda melalui fitur integrasi VNet. Penggunaan titik akhir privat untuk layanan pada sisi penerima lalu lintas App Service menghindari SNAT dan menyediakan rentang IP keluar yang stabil.
Panduan Tambahan: Jika menjalankan kontainer di App Service yang disimpan di Azure Container Registry (ACR) pastikan gambar tersebut ditarik melalui jaringan privat. Lakukan ini dengan mengonfigurasi titik akhir privat pada ACR yang menyimpan gambar tersebut bersama dengan mengatur pengaturan aplikasi "WEBSITE_PULL_IMAGE_OVER_VNET" di aplikasi web Anda.
Referensi: Menggunakan Titik Akhir Privat untuk Azure Web App
Nonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Nonaktifkan Akses Jaringan Publik' menggunakan aturan pemfilteran IP ACL tingkat layanan atau titik akhir privat atau dengan mengatur publicNetworkAccess properti untuk dinonaktifkan di ARM.
Referensi: Menyiapkan pembatasan akses Azure App Service
NS-5: Menyebarkan perlindungan DDOS
Panduan lain untuk NS-5
Aktifkan DDOS Protection Standard di jaringan virtual yang menghosting Web Application Firewall App Service Anda. Azure memberikan perlindungan DDoS Basic pada jaringannya, yang dapat ditingkatkan dengan kemampuan DDoS Standard cerdas yang mempelajari tentang pola lalu lintas normal dan dapat mendeteksi perilaku yang tidak biasa. DDoS Standard berlaku untuk Virtual Network sehingga harus dikonfigurasi untuk sumber daya jaringan di depan aplikasi, seperti Application Gateway atau NVA.
NS-6: Menyebarkan firewall aplikasi web
Panduan lain untuk NS-6
Hindari WAF dibobol untuk aplikasi Anda. Pastikan WAF tidak dapat dilewati dengan membatasi akses hanya ke WAF. Gunakan kombinasi Pembatasan Akses, Titik Akhir Layanan, dan Titik Akhir Privat.
Selain itu, lindungi sebuah Lingkungan App Service dengan merutekan lalu lintas melalui Azure Web Application Firewall (WAF) yang aktif pada Azure Application Gateway atau Azure Front Door.
Untuk penawaran multi-tenant, amankan lalu lintas masuk ke aplikasi Anda dengan:
- Pembatasan Akses: serangkaian aturan izinkan atau tolak yang mengontrol akses masuk
- Titik Akhir Layanan: dapat menolak lalu lintas masuk dari luar jaringan virtual atau subnet tertentu
- Titik Akhir Privat: mengekspos aplikasi Anda ke Virtual Network Anda dengan alamat IP privat. Dengan Titik Akhir Privat diaktifkan di aplikasi Anda, Titik Akhir Privat tidak lagi dapat diakses internet
Pertimbangkan untuk menerapkan Azure Firewall untuk membuat, menerapkan, dan mencatat kebijakan konektivitas aplikasi dan jaringan secara terpusat di seluruh langganan dan jaringan virtual Anda. Azure Firewall menggunakan alamat IP publik statis untuk sumber daya jaringan virtual, yang memungkinkan firewall luar mengidentifikasi lalu lintas yang berasal dari jaringan virtual Anda.
Pengelolaan identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Gunakan sistem identitas dan autentikasi terpusat
Features
Autentikasi Azure AD Diperlukan untuk Akses ke Data Plane
Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Untuk aplikasi web terautentikasi, hanya gunakan idP mapan terkenal untuk mengautentikasi dan mengotorisasi akses pengguna. Jika aplikasi Anda hanya boleh diakses oleh pengguna organisasi Anda sendiri, atau jika tidak, pengguna Anda semuanya menggunakan Azure Active Directory (Azure AD), konfigurasikan Microsoft Azure AD sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Autentikasi dan otorisasi di Azure App Service dan Azure Functions
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses data plane. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Autentikasi dan otorisasi di Azure App Service dan Azure Functions
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Features
Identitas yang Dikelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Kredensial identitas terkelola diurus sepenuhnya, diperbarui secara berkala, dan dilindungi oleh platform, menghindari kredensial yang dibuatkan kode secara tetap dalam kode sumber atau file konfigurasi.
Skenario umum untuk menggunakan identitas terkelola dengan App Service adalah mengakses layanan Azure PaaS lainnya seperti Azure SQL Database, Azure Storage, atau Key Vault.
Referensi: Cara menggunakan identitas terkelola untuk App Service dan Azure Functions
Perwakilan Layanan
Deskripsi: Lapisan data mendukung autentikasi menggunakan prinsipal layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Tambahan: Meskipun perwakilan layanan didukung oleh layanan sebagai pola untuk autentikasi, sebaiknya gunakan Identitas Terkelola jika memungkinkan sebagai gantinya.
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Sudah Dinonaktifkan | 3.0.0 |
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Features
Akses Bersyarat untuk Data Plane
Deskripsi: Akses bidang data dapat dikontrol menggunakan Kebijakan Akses Bersyarat Azure AD. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarat Azure Active Directory (Azure AD) pada beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.
IM-8: Membatasi paparan informasi kredensial dan rahasia
Features
Kredensial Layanan dan Rahasia Mendukung Integrasi serta Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Pastikan rahasia dan kredensial aplikasi disimpan di lokasi aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi. Gunakan identitas terkelola di aplikasi Anda untuk mengakses kredensial, atau rahasia yang disimpan di Key Vault dengan cara yang aman.
Referensi: Menggunakan referensi Key Vault untuk App Service dan Azure Functions
Akses istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Ikuti prinsip administrasi seminimal mungkin (hak istimewa terkecil)
Features
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Features
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Features
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Perlindungan Informasi Azure) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Terapkan Credential Scanner di alur build Anda untuk mengidentifikasi kredensial dalam kode. Pemindai Kredensial juga akan mendorong pemindahan kredensial yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Features
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Meskipun fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk App Service, Anda dapat mengurangi risiko penyelundupan data dari jaringan virtual dengan menghapus semua aturan di mana tujuan menggunakan 'tag' untuk layanan Internet atau Azure.
Microsoft mengelola infrastruktur yang mendasar untuk App Service dan telah menerapkan kontrol ketat untuk mencegah kehilangan atau paparan data Anda.
Gunakan tag untuk membantu melacak sumber daya App Service yang menyimpan atau memproses informasi sensitif.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Features
Enkripsi Data yang Sedang Ditransfer
Deskripsi: Layanan mendukung enkripsi data saat dalam perjalanan untuk pesawat data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan dan terapkan versi minimum default TLS v1.2, yang dikonfigurasi dalam pengaturan TLS/SSL, untuk mengenkripsi semua informasi saat transit. Pastikan juga bahwa semua permintaan koneksi HTTP dialihkan ke HTTPS.
Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Nonaktif, Tolak Akses | 4.0.0 |
DP-4: Mengaktifkan enkripsi data yang disimpan secara default
Features
Enkripsi Data yang Diam Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Catatan fitur: Konten situs web di aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya saat runtime.
Rahasia yang disediakan pelanggan dienkripsi saat tidak aktif saat disimpan dalam database konfigurasi App Service.
Perhatikan bahwa meskipun cakram yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara (misalnya, D:\lokal dan %TMP%), cakram tersebut hanya dienkripsi saat tidak digunakan dalam penawaran App Service multi-penyewa publik di mana SKU Pv3 dapat digunakan. Untuk unit skala multi-penyewa publik lama yang tidak memiliki ketersediaan SKU Pv3, pelanggan harus membuat grup sumber daya baru dan menyebarkan ulang sumber daya mereka di situ.
Selain itu, pelanggan memiliki opsi untuk menjalankan aplikasi mereka di App Service langsung dari paket ZIP. Untuk informasi selengkapnya, silakan kunjungi: Jalankan aplikasi Anda di Azure App Service langsung dari paket ZIP.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-5: Gunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Features
Enkripsi Data yang Tersimpan Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Catatan: Konten situs web di aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya saat runtime.
Rahasia yang disediakan pelanggan dienkripsi saat tidak aktif saat disimpan dalam database konfigurasi App Service.
Perhatikan bahwa meskipun disk yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara, (misalnya, D:\lokal dan %TMP%), disk tersebut tidak dienkripsi saat tidak aktif.
Referensi: Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan
DP-6: Menggunakan proses manajemen kunci yang aman
Features
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda pada Azure Key Vault serta layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau kompromi kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Referensi: Menggunakan referensi Key Vault untuk App Service dan Azure Functions
DP-7: Menggunakan proses manajemen sertifikat yang aman
Features
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: App Service dapat dikonfigurasi dengan SSL/TLS dan sertifikat lainnya, yang dapat dikonfigurasi langsung di App Service atau dirujuk dari Key Vault. Untuk memastikan manajemen pusat semua sertifikat dan rahasia, simpan sertifikat apa pun yang digunakan oleh App Service di Key Vault alih-alih menyebarkannya secara lokal di App Service secara langsung. Ketika ini dikonfigurasi App Service akan secara otomatis mengunduh sertifikat terbaru dari Azure Key Vault. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat.
Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service
Manajemen aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya gunakan layanan yang disetujui
Features
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender for Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat pemberitahuan saat ada penyimpangan konfigurasi yang terdeteksi pada sumber daya. Gunakan efek Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Catatan: Tentukan dan terapkan konfigurasi keamanan standar untuk aplikasi yang disebarkan App Service Anda dengan Azure Policy. Gunakan definisi Azure Policy bawaan serta alias Azure Policy di namespace layanan "Microsoft.Web" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menerapkan konfigurasi sistem. Mengembangkan proses dan alur untuk mengelola pengecualian kebijakan.
Referensi: Kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure App Service
AM-4: Membatasi akses ke manajemen aset
Panduan lain untuk AM-4
Mengisolasi sistem yang memproses informasi sensitif. Untuk melakukannya, gunakan Paket App Service atau Lingkungan App Service terpisah dan pertimbangkan penggunaan langganan atau grup manajemen yang berbeda.
Pengelogan dan deteksi ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Features
Microsoft Defender untuk Penawaran Layanan/Produk
Deskripsi: Layanan memiliki solusi Pertahanan Microsoft khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk App Service untuk mengidentifikasi serangan yang menargetkan aplikasi yang berjalan melalui App Service. Saat mengaktifkan Microsoft Defender for App Service, Anda segera mendapatkan keuntungan dari layanan berikut yang ditawarkan oleh paket Defender ini:
Aman: Defender untuk App Service menilai sumber daya yang dicakup oleh paket App Service Anda dan menghasilkan rekomendasi keamanan berdasarkan temuannya. Gunakan instruksi terperinci dalam rekomendasi ini untuk mengeraskan sumber daya App Service Anda.
Deteksi: Defender untuk App Service mendeteksi banyak ancaman terhadap sumber daya App Service Anda dengan memantau instans VM tempat App Service Anda berjalan dan antarmuka manajemennya, permintaan dan respons yang dikirim ke dan dari aplikasi App Service Anda, kotak pasir dan VM yang mendasar, dan log internal App Service.
Referensi: Melindungi aplikasi web dan API Anda
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Features
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk aplikasi web Anda di App Service.
Referensi: Mengaktifkan pembuatan log diagnostik untuk aplikasi di Azure App Service
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.
PV-2: Mengaudit dan menerapkan konfigurasi yang aman
Panduan lain untuk PV-2
Nonaktifkan penelusuran kesalahan jarak jauh, penelusuran kesalahan jarak jauh tidak boleh diaktifkan untuk beban kerja produksi karena ini membuka port tambahan pada layanan yang meningkatkan permukaan serangan.
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
PV-7: Menjalankan operasi tim merah reguler
Panduan lain untuk PV-7
Lakukan uji penetrasi rutin pada aplikasi web Anda mengikuti aturan pelaksanaan pengujian penetrasi.
Pencadangan dan pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis dilakukan secara rutin
Features
Azure Backup
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Jika memungkinkan, terapkan desain aplikasi stateless untuk menyederhanakan skenario pemulihan dan pencadangan dengan App Service.
Jika Anda benar-benar perlu mempertahankan aplikasi stateful, aktifkan fitur Pencadangan dan Pemulihan di App Service yang memungkinkan Anda dengan mudah membuat cadangan aplikasi secara manual atau sesuai jadwal. Anda dapat mengonfigurasi cadangan untuk dipertahankan hingga jumlah waktu yang tidak terbatas. Anda dapat mengembalikan aplikasi ke snapshot status sebelumnya dengan mengganti aplikasi yang ada atau mengembalikannya ke aplikasi lain. Pastikan bahwa pencadangan reguler dan otomatis terjadi pada frekuensi seperti yang ditentukan oleh kebijakan organisasi Anda.
Catatan: App Service dapat mencadangkan informasi berikut ke akun penyimpanan azure dan kontainer, yang telah Anda konfigurasikan untuk digunakan aplikasi Anda:
- Konfigurasi aplikasi
- Konten file
- Database yang tersambung ke aplikasi Anda
Referensi: Mencadangkan aplikasi Anda di Azure
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Keamanan DevOps
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan DevOps.
DS-6: Terapkan keamanan beban kerja di seluruh siklus hidup DevOps
Panduan lain untuk DS-6
Sebarkan kode ke App Service dari lingkungan terkontrol dan tepercaya, seperti alur penyebaran DevOps yang dikelola dengan baik dan aman. Ini menghindari kode yang tidak dikontrol versi dan diverifikasi untuk disebarkan dari host berbahaya.
Langkah selanjutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang garis besar keamanan Azure