Baseline di sicurezza di Azure per il servizio app
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a servizio app. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle servizio app.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili a servizio app sono state escluse. Per informazioni su come servizio app esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedere il file completo di mapping della baseline di sicurezza servizio app.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di servizio app, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | Calcolo, Web |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Rete virtuale l'integrazione è configurata per impostazione predefinita quando si usano ambienti servizio app, ma devono essere configurati manualmente quando si usa l'offerta multi-tenant pubblico.
Linee guida per la configurazione: assicurarsi che un INDIRIZZO IP stabile per le comunicazioni in uscita verso gli indirizzi Internet: è possibile fornire un indirizzo IP in uscita stabile usando la funzionalità di integrazione Rete virtuale. Ciò consente all'entità ricevente di consentire l'elenco in base all'IP, se necessario.
Quando si usano servizio app nel piano tariffario Isolato, detto anche ambiente del servizio app (AMBIENTE del servizio app), è possibile eseguire la distribuzione direttamente in una subnet all'interno del Rete virtuale di Azure. Usare i gruppi di sicurezza di rete per proteggere l'ambiente di Servizio app di Azure bloccando il traffico in ingresso e in uscita verso le risorse nella rete virtuale o per limitare l'accesso alle app in un ambiente del servizio app.
Nel servizio app multi-tenant (un'app non nel livello Isolato), abilitare le app per accedere alle risorse in o tramite un Rete virtuale con la funzionalità integrazione Rete virtuale. È quindi possibile usare i gruppi di sicurezza di rete per controllare il traffico in uscita dall'app. Quando si usa integrazione Rete virtuale, è possibile abilitare la configurazione "Route All" per rendere tutto il traffico in uscita soggetto a gruppi di sicurezza di rete e route definite dall'utente nella subnet di integrazione. Questa funzionalità può essere usata anche per bloccare il traffico in uscita verso indirizzi pubblici dall'app. Rete virtuale l'integrazione non può essere usata per fornire l'accesso in ingresso a un'app.
Per le comunicazioni verso i servizi di Azure spesso non è necessario dipendere dall'indirizzo IP e dalla meccanica, ad esempio gli endpoint di servizio, devono essere usati.
Nota: per impostazione predefinita, per gli ambienti servizio app, i gruppi di sicurezza di rete includono una regola di negazione implicita con la priorità più bassa e richiede l'aggiunta di regole di autorizzazione esplicite. Aggiungere regole consenti per il gruppo di sicurezza di rete in base a un approccio di rete con privilegi minimi. Le macchine virtuali sottostanti usate per ospitare il ambiente del servizio app non sono direttamente accessibili perché si trovano in una sottoscrizione gestita da Microsoft.
Quando si usa la funzionalità di integrazione Rete virtuale con reti virtuali nella stessa area, usare i gruppi di sicurezza di rete e le tabelle di route con route definite dall'utente. Le route definite dall'utente possono essere inserite nella subnet di integrazione per inviare il traffico in uscita come previsto.
Riferimento: Integrare l'app con una rete virtuale di Azure
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: il supporto del gruppo di sicurezza di rete è disponibile per tutti i clienti che usano ambienti servizio app, ma è disponibile solo nelle app integrate della rete virtuale per i clienti che usano l'offerta multi-tenant pubblico.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: rete ambiente del servizio app
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare gli endpoint privati per l'App Web di Azure per consentire ai client che si trovano nella rete privata di accedere in modo sicuro alle app tramite collegamento privato. L'endpoint privato usa un indirizzo IP dello spazio indirizzi della rete virtuale di Azure. Il traffico di rete tra un client nella rete privata e l'app Web attraversa la VNet e un collegamento privato sulla rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica.
Nota: l'endpoint privato viene usato solo per i flussi in ingresso nell'app Web. I flussi in uscita non useranno questo endpoint privato. È possibile inserire i flussi in uscita nella rete in una subnet diversa tramite la funzionalità di integrazione della rete virtuale. L'uso di endpoint privati per i servizi alla fine di ricezione del traffico servizio app evita che SNAT si verifichi e fornisca un intervallo IP in uscita stabile.
Indicazioni aggiuntive: se si eseguono contenitori in servizio app archiviati in Registro Azure Container (Registro Azure Container) assicurarsi che tali immagini vengano estratte su una rete privata. A tale scopo, configurare un endpoint privato nel Registro Azure Container archiviando tali immagini insieme all'impostazione dell'impostazione dell'applicazione "WEBSITE_PULL_IMAGE_OVER_VNET" nell'applicazione Web.
Riferimento: Uso di endpoint privati per l'app Web di Azure
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando regole di filtro ACL IP a livello di servizio o endpoint privati o impostando la publicNetworkAccess proprietà su disabilitata in ARM.
Riferimento: Configurare Servizio app di Azure restrizioni di accesso
Sicurezza di rete 5: Distribuire la protezione DDoS
Altre indicazioni per NS-5
Abilitare Protezione DDOS Standard nella rete virtuale che ospita il Web application firewall del servizio app. Azure offre protezione DDoS Basic nella rete, che può essere migliorata con funzionalità DDoS Standard intelligenti che apprende i modelli di traffico normali e può rilevare comportamenti insoliti. DDoS Standard si applica a un Rete virtuale quindi deve essere configurato per la risorsa di rete davanti all'app, ad esempio gateway applicazione o un'appliance virtuale di rete.
Sicurezza di rete 6: Distribuire Web application firewall
Altre indicazioni per NS-6
Evitare che WAF venga ignorato per le applicazioni. Assicurarsi che waf non possa essere ignorato bloccando l'accesso solo al WAF. Usare una combinazione di restrizioni di accesso, endpoint di servizio ed endpoint privati.
Inoltre, proteggere un ambiente del servizio app instradando il traffico attraverso un Web application firewall (WAF) abilitato gateway applicazione di Azure o frontdoor di Azure.
Per l'offerta multi-tenant, proteggere il traffico in ingresso verso l'app con:
- Restrizioni di accesso: una serie di regole di autorizzazione o negazione che controllano l'accesso in ingresso
- Endpoint servizio: può negare il traffico in ingresso dall'esterno di reti virtuali o subnet specificate
- Endpoint privati: esporre l'app al Rete virtuale con un indirizzo IP privato. Con gli endpoint privati abilitati nell'app, non è più accessibile da Internet
Prendere in considerazione l'implementazione di un Firewall di Azure per creare, applicare e registrare centralmente i criteri di connettività di rete e applicazioni nelle sottoscrizioni e nelle reti virtuali. Firewall di Azure usa un indirizzo IP pubblico statico per le risorse di rete virtuale, che consente ai firewall esterni di identificare il traffico proveniente dalla rete virtuale.
Gestione delle identità
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: per le applicazioni Web autenticate, usare solo provider di identità noti noti per autenticare e autorizzare l'accesso degli utenti. Nel caso in cui l'app sia accessibile solo dagli utenti della propria organizzazione o in caso contrario, gli utenti usano tutti Azure Active Directory (Azure AD), configurare Azure AD come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: Autenticazione e autorizzazione in Servizio app di Azure e Funzioni di Azure
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: evitare l'utilizzo di account o metodi di autenticazione locali, è consigliabile disabilitare laddove possibile. Usare invece Azure AD per l'autenticazione laddove possibile.
Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locale per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: Autenticazione e autorizzazione in Servizio app di Azure e Funzioni di Azure
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Uno scenario comune per l'uso di un'identità gestita con servizio app consiste nell'accedere ad altri servizi PaaS di Azure, ad esempio database di Azure SQL, Archiviazione di Azure o Key Vault.
Riferimento: Come usare le identità gestite per servizio app e Funzioni di Azure
Entità servizio
Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni aggiuntive: anche se le entità servizio sono supportate dal servizio come modello per l'autenticazione, è consigliabile usare le identità gestite laddove possibile.
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Web:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: assicurarsi che i segreti e le credenziali dell'app vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, invece di incorporarli in file di codice o di configurazione. Usare un'identità gestita nell'app per accedere alle credenziali o ai segreti archiviati in Key Vault in modo sicuro.
Riferimento: usare riferimenti Key Vault per servizio app e Funzioni di Azure
Accesso con privilegi
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: Il Role-Based Controllo di accesso controllo degli accessi in base al ruolo di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Protezione dei dati
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: implementare lo scanner di credenziali nella pipeline di compilazione per identificare le credenziali all'interno del codice. Tale strumento inoltre incoraggerà a spostare le credenziali rilevate in posizioni più sicure, ad esempio Azure Key Vault.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili
Funzionalità
Perdita di dati/Prevenzione della perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: mentre le funzionalità di identificazione, classificazione e prevenzione della perdita dei dati non sono ancora disponibili per servizio app, è possibile ridurre il rischio di esfiltrazione dei dati dalla rete virtuale rimuovendo tutte le regole in cui la destinazione usa un "tag" per Internet o i servizi di Azure.
Microsoft gestisce l'infrastruttura sottostante per servizio app e ha implementato controlli rigorosi per evitare la perdita o l'esposizione dei dati.
Usare i tag per facilitare il rilevamento servizio app risorse che archiviano o elaborano informazioni riservate.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare e applicare la versione minima predefinita di TLS v1.2, configurata nelle impostazioni TLS/SSL, per crittografare tutte le informazioni in transito. Assicurarsi anche che tutte le richieste di connessione HTTP vengano reindirizzate a HTTPS.
Riferimento: Aggiungere un certificato TLS/SSL in Servizio app di Azure
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Web:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: il contenuto del sito Web in un'app servizio app, ad esempio i file, viene archiviato in Archiviazione di Azure, che crittografa automaticamente il contenuto inattivi. Scegliere di archiviare i segreti dell'applicazione in Key Vault e recuperarli in fase di esecuzione.
I segreti forniti dal cliente vengono crittografati inattivi durante l'archiviazione in servizio app database di configurazione.
Si noti che, sebbene i dischi collegati localmente possano essere usati facoltativamente da siti Web come risorsa di archiviazione temporanea, ad esempio D:\local e %TMP%), vengono crittografati solo inattivi nell'offerta servizio app multi-tenant pubblico in cui è possibile usare lo SKU Pv3. Per le unità di scala multi-tenant pubbliche meno recenti in cui lo SKU Pv3 non è disponibile, il cliente deve creare un nuovo gruppo di risorse e ridistribuire le risorse.
Inoltre, il cliente ha la possibilità di eseguire l'applicazione in servizio app direttamente da un pacchetto ZIP. Per altre informazioni, visitare: Eseguire l'app in Servizio app di Azure direttamente da un pacchetto ZIP.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Nota: il contenuto del sito Web in un'app servizio app, ad esempio i file, viene archiviato in Archiviazione di Azure, che crittografa automaticamente il contenuto inattivi. Scegliere di archiviare i segreti dell'applicazione in Key Vault e recuperarli in fase di esecuzione.
I segreti forniti dal cliente vengono crittografati inattivi durante l'archiviazione in servizio app database di configurazione.
Si noti che, mentre i dischi collegati localmente possono essere usati facoltativamente da siti Web come risorsa di archiviazione temporanea, ad esempio D:\local e %TMP%), non vengono crittografati inattivi.
Riferimento: Crittografia dei dati inattivi tramite chiavi gestite dal cliente
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Riferimento: usare riferimenti Key Vault per servizio app e Funzioni di Azure
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: servizio app possono essere configurate con SSL/TLS e altri certificati, che possono essere configurati direttamente in servizio app o a cui si fa riferimento da Key Vault. Per garantire la gestione centralizzata di tutti i certificati e i segreti, archiviare tutti i certificati usati dal servizio app in Key Vault anziché distribuirli localmente direttamente nel servizio app. Quando viene configurato servizio app scaricherà automaticamente il certificato più recente da Azure Key Vault. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault in base a una pianificazione definita o quando si verifica una scadenza del certificato.
Riferimento: Aggiungere un certificato TLS/SSL in Servizio app di Azure
Gestione degli asset
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Nota: definire e implementare configurazioni di sicurezza standard per le app distribuite servizio app con Criteri di Azure. Usare definizioni di Criteri di Azure predefinite e Criteri di Azure alias nello spazio dei nomi "Microsoft.Web" per creare criteri personalizzati per inviare avvisi, controllare e applicare le configurazioni di sistema. Sviluppare un processo e una pipeline per la gestione delle eccezioni dei criteri.
Riferimento: Criteri di Azure controlli di conformità alle normative per Servizio app di Azure
AM-4: Limitare l'accesso alla gestione degli asset
Altre indicazioni per AM-4
Isolare i sistemi che archiviano o elaborano informazioni sensibili. A tale scopo, usare piani di servizio app o ambienti servizio app separati e prendere in considerazione l'uso di sottoscrizioni o gruppi di gestione diversi.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida alla configurazione: usare Microsoft Defender per servizio app per identificare gli attacchi destinati alle applicazioni in esecuzione in servizio app. Quando si abilita Microsoft Defender per il servizio app, si ottengono immediatamente i vantaggi dei servizi seguenti offerti da questo piano di Defender:
Secure: Defender per servizio app valuta le risorse coperte dal piano di servizio app e genera raccomandazioni sulla sicurezza in base ai risultati. Usare le istruzioni dettagliate di queste raccomandazioni per una protezione avanzata delle risorse del servizio app.
Rilevamento: Defender per servizio app rileva una moltitudine di minacce alle risorse servizio app monitorando l'istanza della macchina virtuale in cui è in esecuzione l'servizio app e la relativa interfaccia di gestione, le richieste e le risposte inviate a e dalle app di servizio app, le sandbox e le macchine virtuali sottostanti e servizio app log interni.
Informazioni di riferimento: proteggere le app Web e le API
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: abilitare i log delle risorse per le app Web in servizio app.
Riferimento: Abilitare la registrazione diagnostica per le app in Servizio app di Azure
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione della postura e della vulnerabilità.
PV-2: Controllare e applicare configurazioni sicure
Altre indicazioni per PV-2
Disattivare il debug remoto, il debug remoto non deve essere attivato per i carichi di lavoro di produzione perché apre porte aggiuntive nel servizio che aumenta la superficie di attacco.
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.Web:
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere 'Certificati client (certificati client in ingresso)' abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0 deprecato |
PV-7: Condurre normali operazioni del team rosso
Altre indicazioni per PV-7
Eseguire test di penetrazione regolari nelle applicazioni Web seguendo le regole di test di penetrazione dell'impegno.
Backup e ripristino
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: se possibile, implementare la progettazione di applicazioni senza stato per semplificare gli scenari di ripristino e backup con servizio app.
Se è davvero necessario mantenere un'applicazione con stato, abilitare la funzionalità Backup e ripristino in servizio app che consente di creare facilmente backup delle app manualmente o in una pianificazione. È possibile configurare i backup in modo che vengano conservati per un periodo di tempo indefinito. È possibile ripristinare l'app a una snapshot di uno stato precedente sovrascrivendo l'applicazione esistente o eseguendo il ripristino in un'altra applicazione. Assicurarsi che i backup regolari e automatizzati si verifichino in base a una frequenza definita dai criteri dell'organizzazione.
Nota: servizio app può eseguire il backup delle informazioni seguenti in un account di archiviazione di Azure e in un contenitore, che è stato configurato per l'uso dell'app:
- Configurazione dell'app
- Contenuto del file
- Database connesso all'app
Riferimento: Eseguire il backup dell'app in Azure
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Sicurezza di DevOps
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza DevOps.
DS-6: Applicare la sicurezza del carico di lavoro nel ciclo di vita di DevOps
Altre indicazioni per DS-6
Distribuire il codice nel servizio app da un ambiente controllato e attendibile, ad esempio una pipeline di distribuzione DevOps ben gestita e protetta. In questo modo si evita il codice non controllato dalla versione e verificato di essere distribuito da un host dannoso.
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure