Garis besar keamanan Azure untuk App Service
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke App Service. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk App Service.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk App Service telah dikecualikan. Untuk melihat bagaimana App Service sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan App Service lengkap.
Profil keamanan
Profil keamanan merangkum perilaku App Service berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Komputasi, Web |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Integrasi Virtual Network dikonfigurasi secara default saat menggunakan lingkungan App Service tetapi harus dikonfigurasi secara manual saat menggunakan penawaran multi-penyewa publik.
Panduan Konfigurasi: Pastikan IP yang stabil untuk komunikasi keluar ke alamat internet: Anda dapat menyediakan IP keluar yang stabil dengan menggunakan fitur integrasi Virtual Network. Ini memungkinkan pihak penerima untuk mengizinkan daftar berdasarkan IP, jika diperlukan.
Saat menggunakan App Service di tingkat harga Terisolasi, juga disebut lingkungan App Service (ASE), Anda dapat menyebarkan langsung ke subnet dalam Virtual Network Azure Anda. Gunakan grup keamanan jaringan untuk mengamankan Lingkungan Azure App Service Anda dengan memblokir lalu lintas masuk dan keluar ke sumber daya di jaringan virtual Anda, atau untuk membatasi akses ke aplikasi di Lingkungan App Service.
Di App Service multi-penyewa (aplikasi yang tidak berada di tingkat Terisolasi), memungkinkan aplikasi Anda mengakses sumber daya di atau melalui Virtual Network dengan fitur Integrasi Virtual Network. Anda kemudian dapat menggunakan grup keamanan jaringan untuk mengontrol lalu lintas keluar dari aplikasi Anda. Saat menggunakan Integrasi Virtual Network, Anda dapat mengaktifkan konfigurasi 'Rutekan Semua' untuk membuat semua lalu lintas keluar tunduk pada grup keamanan jaringan dan rute yang ditentukan pengguna pada subnet integrasi. Fitur ini juga dapat digunakan untuk memblokir lalu lintas keluar ke alamat publik dari aplikasi. Integrasi Jaringan Virtual tidak dapat digunakan untuk menyediakan akses masuk ke aplikasi.
Untuk komunikasi terhadap Layanan Azure sering kali tidak perlu bergantung pada alamat IP dan mekanisme seperti Titik Akhir Layanan harus digunakan sebagai gantinya.
Catatan: Untuk lingkungan App Service, secara default, kelompok keamanan jaringan menyertakan aturan penolakan implisit pada prioritas terendah dan mengharuskan Anda menambahkan aturan izin eksplisit. Tambahkan aturan untuk grup keamanan jaringan Anda berdasarkan pendekatan jaringan yang paling tidak istimewa. Mesin virtual yang mendasarinya yang digunakan untuk meng-host Lingkungan App Service tidak dapat diakses secara langsung karena mereka berada dalam langganan yang dikelola Microsoft.
Saat menggunakan fitur Integrasi Jaringan Virtual dengan jaringan virtual di wilayah yang sama, gunakan grup keamanan jaringan dan tabel rute dengan rute yang ditentukan pengguna. Rute yang ditentukan pengguna dapat ditempatkan pada subnet integrasi untuk mengirim lalu lintas keluar sesuai tujuan Anda.
Referensi: Mengintegrasikan aplikasi Anda dengan jaringan virtual Azure
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Dukungan Kelompok Keamanan Jaringan tersedia untuk semua pelanggan yang menggunakan lingkungan App Service tetapi hanya tersedia di aplikasi terintegrasi VNet untuk pelanggan yang menggunakan penawaran multi-penyewa publik.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: jaringan lingkungan App Service
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan titik akhir privat untuk Web Apps Azure Anda untuk memungkinkan klien yang terletak di jaringan privat Anda mengakses aplikasi dengan aman melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat Azure VNet Anda. Lalu lintas antara klien di jaringan privat Anda dan Aplikasi Web melintasi VNet dan Private Link di jaringan backbone Microsoft, menghilangkan paparan dari Internet publik.
Catatan: Titik Akhir Privat hanya digunakan untuk alur masuk ke Aplikasi Web Anda. Alur keluar tidak akan menggunakan Titik Akhir Privat ini. Anda dapat menyuntikkan aliran keluar ke jaringan Anda di subnet yang berbeda melalui fitur integrasi VNet. Penggunaan titik akhir privat untuk layanan pada akhir penerimaan lalu lintas App Service menghindari SNAT terjadi dan menyediakan rentang IP keluar yang stabil.
Panduan Tambahan: Jika menjalankan kontainer pada App Service yang disimpan di Azure Container Registry (ACR) pastikan gambar tersebut ditarik melalui jaringan privat. Lakukan ini dengan mengonfigurasi titik akhir privat pada ACR yang menyimpan gambar tersebut bersama dengan mengatur pengaturan aplikasi "WEBSITE_PULL_IMAGE_OVER_VNET" di aplikasi web Anda.
Referensi: Menggunakan Titik Akhir Privat untuk Azure Web App
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Nonaktifkan Akses Jaringan Publik' menggunakan aturan pemfilteran IP ACL tingkat layanan atau titik akhir privat atau dengan mengatur publicNetworkAccess properti untuk dinonaktifkan di ARM.
Referensi: Menyiapkan pembatasan akses Azure App Service
NS-5: Menyebarkan perlindungan DDOS
Panduan lain untuk NS-5
Aktifkan DDOS Protection Standard di jaringan virtual yang menghosting Web Application Firewall App Service Anda. Azure memberikan perlindungan DDoS Basic pada jaringannya, yang dapat ditingkatkan dengan kemampuan DDoS Standard cerdas yang mempelajari tentang pola lalu lintas normal dan dapat mendeteksi perilaku yang tidak biasa. DDoS Standard berlaku untuk Virtual Network sehingga harus dikonfigurasi untuk sumber daya jaringan di depan aplikasi, seperti Application Gateway atau NVA.
NS-6: Menyebarkan firewall aplikasi web
Panduan lain untuk NS-6
Hindari WAF dilewati untuk aplikasi Anda. Pastikan WAF tidak dapat dilewati dengan mengunci akses hanya ke WAF. Gunakan kombinasi Pembatasan Akses, Titik Akhir Layanan, dan Titik Akhir Privat.
Selain itu, lindungi Lingkungan App Service dengan merutekan lalu lintas melalui Web Application Firewall (WAF) yang diaktifkan Azure Application Gateway atau Azure Front Door.
Untuk penawaran multi-penyewa, amankan lalu lintas masuk ke aplikasi Anda dengan:
- Pembatasan Akses: serangkaian aturan izinkan atau tolak yang mengontrol akses masuk
- Titik Akhir Layanan: dapat menolak lalu lintas masuk dari luar jaringan virtual atau subnet tertentu
- Titik Akhir Privat: mengekspos aplikasi Anda ke Virtual Network Anda dengan alamat IP privat. Dengan Titik Akhir Pribadi diaktifkan di aplikasi Anda, alamat IP tidak lagi dapat diakses internet
Pertimbangkan untuk menerapkan Azure Firewall untuk membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual. Azure Firewall memberikan alamat IP publik statis untuk sumber daya jaringan virtual Anda, memungkinkan firewall luar mengidentifikasi lalu lintas yang berasal dari jaringan virtual Anda.
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Untuk aplikasi web terautentikasi, hanya gunakan penyedia identitas mapan terkenal untuk mengautentikasi dan mengotorisasi akses pengguna. Jika aplikasi Anda hanya boleh diakses oleh pengguna organisasi Anda sendiri, atau jika tidak, pengguna Anda semuanya menggunakan Azure Active Directory (Azure AD), konfigurasikan Azure AD sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Autentikasi dan otorisasi dalam Azure App Service dan Azure Functions
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Autentikasi dan otorisasi dalam Azure App Service dan Azure Functions
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Skenario umum untuk menggunakan identitas terkelola dengan App Service adalah mengakses layanan Azure PaaS lainnya seperti Azure SQL Database, Azure Storage, atau Key Vault.
Referensi: Cara menggunakan identitas terkelola untuk App Service dan Azure Functions
Perwakilan Layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Tambahan: Meskipun perwakilan layanan didukung oleh layanan sebagai pola untuk autentikasi, sebaiknya gunakan Identitas Terkelola jika memungkinkan sebagai gantinya.
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial aplikasi disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi. Gunakan identitas terkelola di aplikasi Anda untuk mengakses kredensial, atau rahasia yang disimpan dalam Key Vault dengan cara yang aman.
Referensi: Gunakan referensi Key Vault untuk App Service dan Azure Functions
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Terapkan Credential Scanner di alur build Anda untuk mengidentifikasi kredensial dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Meskipun fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk App Service, Anda dapat mengurangi risiko penyelundupan data dari jaringan virtual dengan menghapus semua aturan di mana tujuan menggunakan 'tag' untuk layanan Internet atau Azure.
Microsoft mengelola infrastruktur yang mendasari untuk Azure Backup dan telah menerapkan kontrol ketat guna mencegah kehilangan atau pemaparan data Anda.
Gunakan tag untuk membantu melacak App Service sumber daya yang menyimpan atau memproses informasi sensitif.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan dan terapkan versi minimum default TLS v1.2, yang dikonfigurasi dalam pengaturan TLS/SSL, untuk mengenkripsi semua informasi saat transit. Pastikan juga bahwa semua permintaan koneksi HTTP dialihkan ke HTTPS.
Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Konten situs web dalam aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya pada waktu proses.
Rahasia yang disediakan pelanggan dienkripsi saat tidak digunakan saat disimpan dalam database konfigurasi App Service.
Perhatikan bahwa meskipun disk yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara, (misalnya, D:\local dan %TMP%), disk tersebut hanya dienkripsi saat tidak aktif di penawaran App Service multi-penyewa publik tempat SKU Pv3 dapat digunakan. Untuk unit skala multi-penyewa publik yang lebih lama di mana SKU Pv3 tidak tersedia, pelanggan harus membuat grup sumber daya baru dan menyebarkan ulang sumber daya mereka di sana.
Selain itu, pelanggan memiliki opsi untuk menjalankan aplikasi mereka di App Service langsung dari paket ZIP. Untuk informasi lebih lanjut, silakan kunjungi: Jalankan aplikasi Anda di Azure App Service langsung dari paket ZIP.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Catatan: Konten situs web dalam aplikasi App Service, seperti file, disimpan di Azure Storage, yang secara otomatis mengenkripsi konten saat tidak aktif. Pilih untuk menyimpan rahasia aplikasi di Key Vault dan mengambilnya pada waktu proses.
Rahasia yang disediakan pelanggan dienkripsi saat tidak digunakan saat disimpan dalam database konfigurasi App Service.
Perhatikan bahwa meskipun disk yang terpasang secara lokal dapat digunakan secara opsional oleh situs web sebagai penyimpanan sementara, (misalnya, D:\local dan %TMP%), disk tersebut tidak dienkripsi saat tidak digunakan.
Referensi: Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Referensi: Gunakan referensi Key Vault untuk App Service dan Azure Functions
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: App Service dapat dikonfigurasi dengan SSL/TLS dan sertifikat lainnya, yang dapat dikonfigurasi langsung pada App Service atau dirujuk dari Key Vault. Untuk memastikan manajemen pusat semua sertifikat dan rahasia, simpan sertifikat apa pun yang digunakan oleh App Service di Key Vault alih-alih menyebarkannya secara lokal di App Service secara langsung. Ketika ini dikonfigurasi App Service akan secara otomatis mengunduh sertifikat terbaru dari Azure Key Vault. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat.
Referensi: Menambahkan sertifikat TLS/SSL di Azure App Service
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.
Catatan: Tentukan dan terapkan konfigurasi keamanan standar untuk aplikasi App Service yang disebarkan dengan Azure Policy. Gunakan definisi Azure Policy bawaan serta alias Azure Policy di namespace layanan "Microsoft.Web" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menerapkan konfigurasi sistem. Sebarkan proses dan alur untuk mengelola pengecualian kebijakan.
Referensi: kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure App Service
AM-4: Membatasi akses ke manajemen aset
Panduan lain untuk AM-4
Mengisolasi sistem yang memproses informasi sensitif. Untuk melakukannya, gunakan Paket App Service terpisah atau Lingkungan App Service dan pertimbangkan penggunaan langganan atau grup manajemen yang berbeda.
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender untuk App Service untuk mengidentifikasi serangan yang menargetkan aplikasi yang berjalan melalui App Service. Saat mengaktifkan Microsoft Defender for App Service, Anda segera mendapatkan keuntungan dari layanan berikut yang ditawarkan oleh paket Defender ini:
Aman: Defender for App Service menilai sumber daya yang tercakup dalam rencana App Service Anda dan menghasilkan rekomendasi keamanan berdasarkan temuannya. Gunakan petunjuk terperinci dalam rekomendasi ini untuk memperkuat sumber daya App Service Anda.
Deteksi: Defender for App Service mendeteksi banyak ancaman terhadap sumber daya App Service Anda dengan memantau instans VM tempat App Service Anda berjalan dan antarmuka manajemennya, permintaan dan respons yang dikirim ke dan dari aplikasi App Service Anda, kotak pasir dan VM yang mendasar, dan App Service log internal.
Referensi: Lindungi aplikasi web dan API Anda
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk aplikasi web Anda di App Service.
Referensi: Mengaktifkan pembuatan log diagnostik untuk aplikasi di Azure App Service
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.
PV-2: Mengaudit dan menerapkan konfigurasi yang aman
Panduan lain untuk PV-2
Nonaktifkan penelusuran kesalahan jarak jauh, penelusuran kesalahan jarak jauh tidak boleh diaktifkan untuk beban kerja produksi karena ini membuka port tambahan pada layanan yang meningkatkan permukaan serangan.
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Web:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
PV-7: Menjalankan operasi tim merah reguler
Panduan lain untuk PV-7
Lakukan uji penetrasi rutin pada aplikasi web Anda dengan mengikuti aturan pengujian penetrasi keterlibatan.
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Jika memungkinkan, terapkan desain aplikasi stateless untuk menyederhanakan skenario pemulihan dan pencadangan dengan App Service.
Jika Anda benar-benar perlu mempertahankan aplikasi stateful, aktifkan fitur Pencadangan dan Pemulihan di App Service yang memungkinkan Anda dengan mudah membuat cadangan aplikasi secara manual atau sesuai jadwal. Anda dapat mengonfigurasi cadangan untuk disimpan hingga waktu yang tidak terbatas. Anda dapat memulihkan aplikasi ke rekam jepret status sebelumnya dengan menimpa aplikasi lama atau memulihkan ke aplikasi lain. Pastikan bahwa pencadangan reguler dan otomatis terjadi pada frekuensi seperti yang ditentukan oleh kebijakan organisasi Anda.
Catatan: App Service dapat mencadangkan informasi berikut ke akun penyimpanan Azure dan kontainer, yang telah Anda konfigurasi untuk digunakan aplikasi Anda:
- Konfigurasi aplikasi
- Konten file
- Database yang terhubung ke aplikasi Anda
Referensi: Mencadangkan aplikasi Anda di Azure
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Keamanan Azure DevOps
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan DevOps.
DS-6: Menegakkan keamanan beban kerja di seluruh siklus hidup DevOps
Panduan lain untuk DS-6
Sebarkan kode untuk App Service dari lingkungan yang terkontrol dan tepercaya, seperti alur penyebaran DevOps yang dikelola dengan baik dan aman. Ini menghindari kode yang tidak dikontrol versi dan diverifikasi untuk disebarkan dari host berbahaya.
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure