この記事では、Microsoft Defender for Cloud プラン (Microsoft Defender for Cloud for Azure アプリ Service) によって発行される可能性があるすべてのセキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
ヒント
推奨事項の説明に " 関連ポリシーがない" と表示される場合は、通常、その推奨事項が別の推奨事項と ポリシーに依存しているため 。
たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本推奨事項のみに制限すると、ポリシー管理が簡単になります。
App Services に関する推奨事項
API アプリには HTTPS を介してのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: API アプリには、HTTPS) 経由でのみアクセスできます。
重大度: 中
CORS で API Apps へのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべてのドメインが API アプリにアクセスできるわけではありません。 API アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが API アプリにアクセスできるわけではありません)。
重大度: 低
CORS で関数アプリへのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべてのドメインが関数アプリにアクセスできるわけではありません。 関数アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが Function Apps にアクセスできるわけではありません)。
重大度: 低
CORS で Web アプリケーションへのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべてのドメインが Web アプリケーションにアクセスできるわけではありません。 Web アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが Web アプリケーション) にアクセスできないようにする必要があります。
重大度: 低
App Services における診断ログを有効にする必要がある
説明: アプリでの診断ログの有効化を監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合 (関連ポリシーなし) に関する調査目的でアクティビティ 証跡を再作成できます。
重大度: 中
API アプリでクライアント証明書 (着信クライアント証明書) が [オン] に設定されていることを確認する
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 (関連ポリシー: API アプリの [クライアント証明書 (受信クライアント証明書)]が [オン] に設定されていることを確認)。
重大度: 中
API Apps で FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー:
重大度: 高
関数アプリで FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー: FTPS は関数アプリでのみ必要です)。
重大度: 高
Web アプリで FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー: Web アプリでは FTPS が必要です)。
重大度: 高
Function App には HTTPS 経由でのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: Function App には HTTPS) 経由でのみアクセスできます。
重大度: 中
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 (関連ポリシー: 関数アプリでは、"クライアント証明書 (受信クライアント証明書)" が有効になっている必要があります)。
重大度: 中
API Apps 用に Java を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥のため、または追加機能を含めるために、Java 用に新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
API Apps ではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は、API アプリ) で使用する必要があります。
重大度: 中
関数アプリではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は、Function App ) で使用する必要があります。
重大度: 中
Web アプリではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は、Web アプリ) で使用する必要があります。
重大度: 中
Microsoft Defender for App Serviceを有効にする必要があります
説明: Microsoft Defender for App Service は、クラウドの規模と、Azure がクラウド プロバイダーとして持つ可視性を活用して、一般的な Web アプリ攻撃を監視します。 Microsoft Defender for App Service では、アプリケーションに対する攻撃を検出したり、新種の攻撃を特定したりできます。
この推奨事項の修復によって、App Service プランを保護するための料金が発生します。 このサブスクリプションに App Service プランがない場合、料金は発生しません。 今後このサブスクリプションに App Service プランを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、「Web アプリと API の保護」を参照してください。 (関連ポリシー: Azure Defender for App Service を有効にする必要があります)。
重大度: 高
API Apps 用に PHP を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥のため、または追加機能を含めるために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、'PHP バージョン' が最新であることを確認します)。
重大度: 中
API Apps 用に Python を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥のため、または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、"Python バージョン" が最新であることを確認します)。
重大度: 中
API アプリでリモート デバッグを無効にする
説明: リモート デバッグでは、API アプリで受信ポートを開く必要があります。 リモート デバッグを無効にする必要があります。 (関連ポリシー: API Apps の場合はリモート デバッグをオフにする必要があります)。
重大度: 低
Function App でリモート デバッグを無効にする
説明: リモート デバッグでは、Azure 関数アプリで受信ポートを開く必要があります。 リモート デバッグを無効にする必要があります。 (関連ポリシー: Function Apps) のリモート デバッグをオフにする必要があります。
重大度: 低
Web アプリケーションのリモート デバッグを無効にする
説明: リモート デバッグでは、Web アプリケーションで受信ポートを開く必要があります。 現在、リモート デバッグが有効になっています。 リモート デバッグを使用する必要がなくなったら、無効にする必要があります。 (関連ポリシー: Web アプリケーション) のリモート デバッグをオフにする必要があります。
重大度: 低
API Apps 用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンを API アプリで使用する必要があります)。
重大度: 高
関数アプリ用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンは、関数アプリ) で使用する必要があります。
重大度: 高
Web アプリ用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンは、Web アプリ) で使用する必要があります。
重大度: 高
Web アプリケーションには HTTPS を介してのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: Web アプリケーションには、HTTPS) 経由でのみアクセスできます。
重大度: 中
Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 (関連ポリシー: WEB アプリの [クライアント証明書 (受信クライアント証明書)]が [オン] に設定されていることを確認)。
重大度: 中