Baseline di sicurezza di Azure per le App per la logica
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a App per la logica. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili alle app per la logica.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili alle app per la logica sono state escluse. Per informazioni sul mapping completo delle app per la logica al benchmark di sicurezza cloud Microsoft, vedere il file di mapping della baseline di base di sicurezza di App per la logica completo.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto delle app per la logica, che possono causare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | Integrazione |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia il contenuto del cliente inattivo | Vero |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: questa funzionalità è supportata tramite Servizi app per l'offerta Standard app per la logica. I clienti possono anche usare ASE V3 per distribuire app Standard per le app per la logica.
Linee guida per la configurazione: distribuire l'applicazione Standard per le app per la logica in uno degli INDIRIZZI ASP standard del flusso di lavoro o asE V3 basati su ASE. I clienti possono configurare l'integrazione della rete virtuale e gli endpoint privati con entrambe le opzioni suggerite sopra.
Informazioni di riferimento: Integrazione della rete virtuale app per la logica
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: per App per la logica Standard questa funzionalità è supportata tramite Servizi app e funzioni.
Indicazioni sulla configurazione: usare gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Tenere presente che per impostazione predefinita, i gruppi di sicurezza di rete negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Nota: distribuire l'applicazione Standard per le app per la logica in uno degli INDIRIZZI ASP standard del flusso di lavoro o asE V3 basati su ASE. I clienti possono configurare l'integrazione della rete virtuale e gli endpoint privati con entrambe le opzioni suggerite sopra. A questo scopo, i clienti possono configurare le regole del gruppo di sicurezza di rete necessarie nelle subnet.
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: per App per la logica Standard, questa funzionalità è supportata tramite Servizi app e funzioni.
Linee guida per la configurazione: distribuire l'applicazione Standard per le app per la logica in uno degli INDIRIZZI ASP standard del flusso di lavoro o asE V3 basati su ASE. I clienti possono configurare l'integrazione della rete virtuale e gli endpoint privati con entrambe le opzioni suggerite sopra.
Riferimento: Collegamenti privati di App per la logica
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: questa funzionalità è supportata tramite app Azure Services for Logic Apps Standard.
Indicazioni sulla configurazione: disabilitare l'accesso alla rete pubblica usando App per la logica Standard in ASE v3 o un piano di servizio app Standard del flusso di lavoro. Con ASE v3, i clienti possono configurare per scegliere un ambiente del servizio app interno V3. Con un piano di servizio app standard del flusso di lavoro regolare, i clienti possono disabilitare l'accesso alla rete pubblica con endpoint privati abilitati.
Riferimento: Uso di endpoint privati per le app di servizio app
Gestione delle identità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatorio per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: la funzionalità è supportata nell'uso delle app per la logica e standard usando modelli diversi come modello Standard di App per la logica viene eseguito in servizi app.
Per altre informazioni, visitare: Consumo e Standard.
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Informazioni di riferimento: Autenticazione AAD di App per la logica di Azure
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: questa funzionalità è supportata tramite servizi e funzioni di app Azure per App per la logica Standard. Evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.
Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locali per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Riferimento: Autenticazione e autorizzazione in Servizio app di Azure e Funzioni di Azure
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: l'autenticazione tramite identità gestita alle app per la logica è supportata. Inoltre, il servizio (sia Consumo che Standard) può sfruttare l'identità gestita per eseguire l'autenticazione ad altri servizi.
Per altre informazioni, vedere Autenticazione delle app per la logica tramite identità gestita.
Linee guida alla configurazione: usare le identità gestite di Azure anziché le entità servizio quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando le credenziali hardcoded nel codice sorgente o nei file di configurazione.
Riferimento: Tipi di autenticazione per i connettori che supportano l'autenticazione
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: il cliente può usare App Services Easy Auth per configurare questo supporto nell'offerta Standard. Oppure possono usare il supporto per l'autenticazione AAD nell'offerta Consumo.
Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Informazioni di riferimento: Trigger di autenticazione AAD per le app per la logica
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Integrazione e archiviazione di credenziali e segreti del servizio in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: l'offerta Standard app per la logica è il prodotto consigliato per i clienti da usare per tutti gli scenari di integrazione aziendale.
In App per la logica Standard, poiché si basa su Servizi app, i clienti possono fare riferimento ai propri segreti in Key Vault usando le impostazioni dell'app e a sua volta fare riferimento alle impostazioni dell'app nei flussi di lavoro.
Per altre informazioni, visitare: Accesso a livello di codice alle impostazioni dell'app dalle espressioni di App per la logica.
Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.
Informazioni di riferimento: Impostazioni app standard per le app per la logica
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-8: Determinare il processo di accesso per il supporto del provider cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, approvare o rifiutare le richieste di accesso ai dati di Microsoft.
Informazioni di riferimento: Blocco clienti app per la logica
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita dei dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Proteggere le app per la logica
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: per l'offerta a consumo, i dati per i clienti vengono archiviati in account di archiviazione gestiti da Microsoft e i dati vengono crittografati inattivi usando la funzionalità di crittografia dei dati inattivi di archiviazione.
Per l'offerta Standard, i clienti gestiscono lo spazio di archiviazione.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: questa funzionalità è supportata tramite App per la logica Standard. Nell'offerta Standard i clienti possono configurare i propri account di archiviazione per l'archiviazione dei dati di runtime. Poiché i clienti possiedono lo spazio di archiviazione, possono configurare i criteri cmk in base alle esigenze negli account di archiviazione.
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
DP-6: usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: poiché App per la logica Standard viene eseguita su Servizi app e funzioni, questa funzionalità è supportata tramite Servizi app.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
DP-7: usare un processo di gestione sicura dei certificati
Funzionalità
Gestione certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: in App per la logica Standard questa funzionalità è supportata tramite il supporto di Servizi app per fare riferimento ai certificati da Key Vault.
Per altre informazioni, visitare: Importare un certificato da Key Vault.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui la creazione, l'importazione, la rotazione, la revoca, l'archiviazione e l'eliminazione del certificato. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e nel servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e nell'applicazione.
Gestione degli asset
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: quando App per la logica standard viene eseguita su Servizi app, i clienti possono configurare criteri simili a come possono essere configurati per Servizi app e funzioni. Oltre a questo, sono disponibili anche criteri specifici di App per la logica.
servizio app criteri predefiniti
Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Criteri predefiniti di App per la logica
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta del servizio/prodotto
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: questa funzionalità è supportata tramite Servizi app per App Standard.
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano di gestione. Quando viene visualizzato un avviso da Microsoft Defender per Key Vault, analizzare e rispondere all'avviso.
Informazioni di riferimento: Panoramica di Defender per servizio app per proteggere le app Web e le API Servizio app di Azure
LT-4: Abilitare la registrazione per l'indagine sulla sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse che possono fornire metriche e registrazioni specifiche del servizio avanzate. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro di log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Riferimento: Monitorare e raccogliere dati di diagnostica per i flussi di lavoro in App per la logica di Azure
Backup e ripristino
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.
BR-1: Assicurarsi che i backup automatizzati regolari
Funzionalità
Backup di Azure
Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure