Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Questa baseline di sicurezza applica la guida del benchmark della sicurezza cloud Microsoft versione 1.0 alle Funzioni. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle funzioni.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Annotazioni
Le funzionalità non applicabili alle funzioni sono state escluse. Per informazioni sul mapping completo delle funzioni al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo delle baseline di sicurezza di Funzioni.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Funzioni, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo di Comportamento del Servizio | Value |
|---|---|
| Categoria prodotto | Calcolo, Web |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti a riposo | Vero |
Sicurezza della rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
NS-1: Stabilire limiti di segmentazione di rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nella rete virtuale privata del cliente. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non esista un motivo sicuro per assegnare indirizzi IP pubblici direttamente alla risorsa.
Nota: le funzionalità di rete vengono esposte dal servizio, ma devono essere configurate per l'applicazione. Per impostazione predefinita, l'accesso alla rete pubblica è consentito.
Informazioni di riferimento: Opzioni di rete di Funzioni di Azure
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Ricorda che per impostazione predefinita, i gruppi di sicurezza di rete (NSG) negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dagli Azure Load Balancers.
Informazioni di riferimento: Opzioni di rete di Funzioni di Azure
NS-2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o firewall di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità Collegamento privato per stabilire un punto di accesso privato per le risorse.
Informazioni di riferimento: Opzioni di rete di Funzioni di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: Le Funzioni di Azure possono essere configurate con endpoint privati; tuttavia, attualmente non esiste un unico interruttore per disabilitare l'accesso alla rete pubblica senza prima configurare gli endpoint privati.
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL IP a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: Usare un sistema centralizzato di identità e autenticazione
Funzionalità
Autenticazione di Azure AD necessaria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: gli endpoint di proprietà del cliente possono essere configurati per richiedere i requisiti di autenticazione di Azure AD. Gli endpoint forniti dal sistema per le operazioni di distribuzione e gli strumenti di sviluppo avanzati supportano Azure AD, ma per impostazione predefinita hanno la possibilità di usare in alternativa le credenziali di pubblicazione. Queste credenziali di pubblicazione possono essere disabilitate. È possibile accedere ad alcuni endpoint del piano dati nell'app tramite chiavi amministrative configurate nell'host di Funzioni e non configurabili con i requisiti di Azure AD.
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: Configurare le credenziali di distribuzione - Disabilitare l'autenticazione di base
Metodi di autenticazione locale per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulla funzionalità: le credenziali di distribuzione vengono create per impostazione predefinita, ma possono essere disabilitate. Alcune operazioni esposte dal runtime dell'applicazione possono essere eseguite usando una chiave amministrativa, che non può essere attualmente disabilitata. Questa chiave può essere archiviata in Azure Key Vault e può essere rigenerata in qualsiasi momento. Evitare l'utilizzo di account o metodi di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Disabilitare l'autenticazione di base
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Indicazioni sulla configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente amministrate, aggiornate e protette dalla piattaforma, evitando credenziali codificate in modo fisso nel codice sorgente o nei file di configurazione.
Riferimento: Come usare le identità gestite per il servizio app e Funzioni di Azure
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Monitoraggio di Microsoft Defender per il cloud
Definizioni predefinite di Criteri di Azure - Microsoft.Web:
| Nome (Portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
IM-7: Limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: per gli endpoint del piano dati che non sono definiti dall'applicazione, l'accesso condizionale deve essere configurato in Gestione dei servizi di Azure.
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida sulla configurazione: assicurarsi che i segreti e le credenziali siano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Riferimento: Usare i riferimenti a Key Vault per App Service e Azure Functions
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Funzionalità
Account amministratore locale
Descrizione: il servizio ha il concetto di account amministrativo locale. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il data plane
Descrizione: Il controllo di accesso di Azure Role-Based può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: le uniche azioni del piano dati che possono sfruttare Azure RBAC sono gli endpoint Kudu/SCM/deployment. È necessario avere i permessi per l'operazione Microsoft.Web/sites/publish/Action. Gli endpoint esposti dall'applicazione del cliente stessa non sono coperti dal controllo degli accessi in base al ruolo di Azure.
Indicazioni sulla configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli di controllo degli accessi in base al ruolo (RBAC) di Azure possono essere assegnati a utenti, gruppi, principali del servizio e identità gestite.
Riferimento: permessi RBAC necessari per accedere a Kudu
PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Cassetta di Sicurezza per Clienti
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Funzionalità
Prevenzione della fuoriuscita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: le app per le funzioni vengono create per impostazione predefinita per supportare TLS 1.2 come versione minima, ma un'app può essere configurata con una versione precedente tramite un'impostazione di configurazione. HTTPS non è obbligatorio per le richieste in ingresso per impostazione predefinita, ma può anche essere impostato tramite un'impostazione di configurazione, a questo punto qualsiasi richiesta HTTP verrà reindirizzata automaticamente all'uso di HTTPS.
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità nativa di crittografia dei dati in transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota delle macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Riferimento: Aggiungere e gestire certificati TLS/SSL nel servizio app di Azure
Monitoraggio di Microsoft Defender per il cloud
Definizioni predefinite di Criteri di Azure - Microsoft.Web:
| Nome (Portale di Azure) |
Description | Effect(s) | Versione (GitHub) |
|---|---|---|---|
| Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Verifica, Disabilitato, Nega | 4.0.0 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati a riposo tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: Funzioni di Azure non supporta direttamente questa funzionalità, ma un'applicazione può essere configurata per sfruttare i servizi che eseguono, al posto di qualsiasi possibile archiviazione dei dati in Funzioni. Azure Files può essere montato come file system, tutte le impostazioni applicative, inclusi i segreti, possono essere archiviate in Azure Key Vault e le opzioni di distribuzione, ad esempio run-from-package, possono estrarre il contenuto da Azure Blob Storage.
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Codifica i dati a riposo dell'applicazione utilizzando chiavi gestite dal cliente
DP-6: Usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruota e revoca le chiavi in Azure Key Vault e il servizio associato secondo una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave di crittografia dei dati (DEK) separata con la chiave di cifratura delle chiavi (KEK) nel deposito di chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e siano referenziate tramite ID delle chiavi dal servizio o dall'applicazione. Se è necessario portare la propria chiave della piattaforma (BYOK) nel servizio, ad esempio importando chiavi protette dal modulo di protezione hardware (HSM) dai HSM locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione iniziale delle chiavi e il loro trasferimento.
Riferimento: Usare i riferimenti a Key Vault per App Service e Funzioni di Azure
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione, importazione, rotazione, revoca, archiviazione e eliminazione del certificato. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che vengano comunque ruotate utilizzando metodi manuali in Azure Key Vault e nell'applicazione.
Riferimento: Aggiungere un certificato TLS/SSL nel servizio app di Azure
Gestione delle risorse
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione di configurazione nelle risorse. Usare gli effetti di Criteri di Azure [nega] e [distribuisci se non esiste] per imporre una configurazione sicura tra le risorse di Azure.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender for Service/Offerta di prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulla funzionalità: Defender per il servizio app include Funzioni di Azure. Se questa soluzione è abilitata, verranno incluse le app per le funzioni nell'ambito dell'abilitazione.
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando si riceve un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.
Riferimento: Defender for App Service
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio deposito di dati, ad esempio un account di archiviazione o uno spazio di lavoro di Log Analytics. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log di risorse varia in base al servizio di Azure e al tipo di risorsa.
Riferimento: Monitoraggio di Funzioni di Azure con i log di Monitoraggio di Azure
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Garantire backup automatici regolari
Funzionalità
Azure Backup
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: una funzionalità per il backup di un'applicazione è disponibile se ospitata in un piano di servizio app Standard, Premium o Isolato. Questa funzionalità non sfrutta il servizio Backup di Azure e non include sorgenti di eventi o archiviazione collegata esternamente. Per altri dettagli, vedere /azure/app-service/manage-backup.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Ulteriori informazioni.
| Sostenuto | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Cliente |
Note sulle funzionalità: una funzionalità di backup è disponibile per le app in esecuzione nei piani di servizio app Standard, Premium e Isolato. Questo non include il backup delle fonti di eventi o la memoria fornita esternamente.
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Eseguire il backup e il ripristino dell'app nel servizio app di Azure
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni sulle baseline di sicurezza di Azure