Specificare i requisiti di sicurezza per i carichi di lavoro Web
Questa unità riepiloga la baseline di sicurezza di Azure per il servizio app per facilitare la creazione di nuove specifiche dei requisiti per i carichi di lavoro Web.
Per altre informazioni su Microsoft Cloud Security Benchmark, vedere Introduzione a Microsoft Cybersecurity Reference Architecture e Cloud Security Benchmark.
Nella tabella seguente sono inclusi i controlli della baseline completa in cui:
- I controlli di sicurezza erano supportati ma non abilitati per impostazione predefinita
- Erano presenti indicazioni esplicite che contenevano le azioni da intraprendere da parte del cliente
| Area | Controllo | Funzionalità | Riepilogo delle indicazioni |
|---|---|---|---|
| Sicurezza di rete | Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete | Integrazione della rete virtuale | Assicurarsi di usare un indirizzo IP stabile per le comunicazioni in uscita verso gli indirizzi Internet: è possibile farlo usando la funzionalità di integrazione rete virtuale. Ciò consente all'entità ricevente di consentire l'elenco in base all'indirizzo IP, se necessario. |
| Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete | Collegamento privato di Azure | Usare un endpoint privato per l'app Web di Azure per consentire ai client che si trovano nella rete privata di accedere in modo sicuro all'app tramite un collegamento privato. L'endpoint privato usa un indirizzo IP dello spazio indirizzi della rete virtuale di Azure. | |
| Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete | Disabilitare l'accesso alla rete pubblica | Disabilita l'accesso alla rete pubblica usando regole di filtro ACL IP a livello di servizio o endpoint privati oppure impostando la proprietà publicNetworkAccess su disabilitata in Azure Resource Manager. | |
| NS-5: Distribuire la protezione DDoS | Abilita la protezione DDOS Standard nella rete virtuale che ospita il Web application firewall del servizio app. Azure fornisce la protezione dell'infrastruttura DDoS (Basic) nella rete. Per migliorare le funzionalità DDoS intelligenti, abilita la protezione DDoS di Azure che apprende i modelli di traffico normali e può rilevare comportamenti insoliti. Protezione DDoS di Azure ha due livelli; protezione di rete e protezione IP. | ||
| Sicurezza di rete 6: Distribuire Web application firewall | Evitare che WAF venga ignorato per le applicazioni. Assicurarsi che WAF non possa essere ignorato bloccando l'accesso solo al WAF stesso. Usare una combinazione di restrizioni di accesso, endpoint di servizio ed endpoint privati. | ||
| Gestione delle identità | IM-1: usare un sistema di identità e autenticazione centralizzato | Autenticazione di Microsoft Entra necessaria per l'accesso al piano dati | Per le applicazioni Web autenticate, usare solo provider di identità noti per autenticare e autorizzare l'accesso utente. |
| Metodi di autenticazione locali per l'accesso al piano dati | Limitare l'uso dei metodi di autenticazione locale per l'accesso al piano dati. Usare invece Microsoft Entra ID come metodo di autenticazione predefinito per controllare l'accesso al piano dati. | ||
| IM-3: gestire le identità delle applicazioni in modo sicuro e automatico | Identità gestite | Usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Microsoft Entra. Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione. | |
| IM-7: limitare l'accesso alle risorse in base alle condizioni | Accesso condizionale per il piano dati | Definire le condizioni e i criteri applicabili per l'accesso condizionale di Microsoft Entra nel carico di lavoro. | |
| IM-8: limitare l'esposizione di credenziali e segreti | Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault | Assicurarsi che i segreti e le credenziali dell'app vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione. Usare un'identità gestita nell'app per accedere alle credenziali o ai segreti archiviati in Key Vault in modo sicuro. | |
| Accesso con privilegi | PA-8: Determinare il processo di accesso per il supporto del provider di servizi cloud | Customer Lockbox | Negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft. |
| Protezione dei dati | DP-3: Crittografare i dati sensibili in movimento | Crittografia dei dati in transito | Usare e applicare la versione minima predefinita di TLS v1.2, configurata nelle impostazioni TLS/SSL, per crittografare tutte le informazioni in transito. Assicurarsi anche che tutte le richieste di connessione HTTP vengano reindirizzate a HTTPS. |
| DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario | Crittografia dei dati inattivi tramite chiave gestita dal cliente | Se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi. | |
| DP-6: Usare un processo di gestione delle chiavi sicure | Gestione delle chiavi - Azure Key Vault | Usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e nel servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. | |
| DP-7: Usare un processo di gestione dei certificati sicuro | Gestione dei certificati in Azure Key Vault | Il servizio app può essere configurato con SSL/TLS e altri certificati, che possono essere configurati direttamente al suo interno o come riferimenti da Key Vault. Per garantire la gestione centralizzata di tutti i certificati e i segreti, archiviare tutti i certificati usati dal servizio app in Key Vault anziché distribuirli localmente direttamente nel servizio app. | |
| Gestione cespiti | AM-2: Utilizzare solo servizi approvati | ||
| AM-4: Limitare l'accesso alla gestione degli asset | Isolare i sistemi che archiviano o elaborano informazioni sensibili. A tale scopo, usare piani di servizio app o ambienti servizio app separati e prendere in considerazione l'uso di sottoscrizioni o gruppi di gestione diversi. | ||
| Registrazione e rilevamento delle minacce | LT-1: Abilitare le funzionalità di rilevamento delle minacce | Microsoft Defender per l'offerta di servizi/prodotti | Usare Microsoft Defender per il Servizio app per identificare gli attacchi mirati alle applicazioni in esecuzione nel servizio app. |
| LT-4: Abilitare la registrazione per l'analisi della sicurezza | Log delle risorse di Azure | Abilitare i log delle risorse per le app Web nel servizio app. | |
| Comportamento e gestione delle vulnerabilità | PV-2: Controllare e applicare configurazioni sicure | Disattivare il debug remoto, che non deve essere attivato per i carichi di lavoro di produzione, perché l'operazione aprirebbe più porte sul servizio aumentando così la superficie di attacco. | |
| PV-7: Condurre normali operazioni del team rosso | Eseguire test di penetrazione regolari sulle applicazioni Web seguendo le regole di engagement di tali test. | ||
| Backup e ripristino | BR-1: Assicurare backup regolari automatici | Backup di Azure | Se possibile, implementare la progettazione di applicazioni senza stato per semplificare gli scenari di ripristino e backup con servizio app. Se è effettivamente necessario gestire un'applicazione con stato, abilitare la funzionalità Backup e ripristino in Servizio app, che consente di creare facilmente backup delle app in modo manuale o in base a una pianificazione. |
| Sicurezza di DevOps | DS-6: Applicare la sicurezza del carico di lavoro nel ciclo di vita di DevOps | Distribuire il codice nel servizio app da un ambiente controllato e attendibile, ad esempio una pipeline di distribuzione DevOps ben gestita e protetta. In questo modo si evita il codice che non è stato controllato dalla versione e verificato venga distribuito da un host dannoso. |