Delen via


Azure-beveiligingsbasislijn voor App Service

Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op App Service. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op App Service.

U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.

Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Functies die niet van toepassing zijn op App Service zijn uitgesloten. Als u wilt zien hoe App Service volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand App Service beveiligingsbasislijn.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van App Service, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Compute, Web
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Inhoud van klanten in rust opgeslagen Waar

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Opmerkingen bij de functie: Virtual Network-integratie wordt standaard geconfigureerd bij het gebruik van App Service-omgevingen, maar moet handmatig worden geconfigureerd wanneer u de openbare aanbieding voor meerdere tenants gebruikt.

Configuratierichtlijnen: Zorg voor een stabiel IP-adres voor uitgaande communicatie naar internetadressen: u kunt een stabiel uitgaand IP-adres opgeven met behulp van de integratiefunctie Virtual Network. Hierdoor kan de ontvangende partij een acceptatielijst maken op basis van IP, mocht dat nodig zijn.

Wanneer u App Service gebruikt in de prijscategorie Isolated, ook wel een App Service Environment (ASE) genoemd, kunt u rechtstreeks implementeren in een subnet binnen uw Azure Virtual Network. Gebruik netwerkbeveiligingsgroepen om uw Azure App Service-omgeving te beveiligen door inkomend en uitgaand verkeer naar resources in uw virtuele netwerk te blokkeren of om de toegang tot apps in een App Service Environment te beperken.

In de App Service met meerdere tenants (een app niet in de geïsoleerde laag) kunt u uw apps toegang geven tot resources in of via een Virtual Network met de functie Virtual Network Integration. U kunt vervolgens netwerkbeveiligingsgroepen gebruiken om uitgaand verkeer van uw app te beheren. Wanneer u Virtual Network Integration gebruikt, kunt u de configuratie 'Route All' inschakelen om al het uitgaande verkeer afhankelijk te maken van netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes in het integratiesubnet. Deze functie kan ook worden gebruikt om uitgaand verkeer naar openbare adressen vanuit de app te blokkeren. Virtual Network Integration kan niet worden gebruikt om binnenkomende toegang tot een app te bieden.

Voor communicatie met Azure Services hoeft u vaak niet afhankelijk te zijn van het IP-adres en de mechanismen zoals service-eindpunten.

Opmerking: voor App Service-omgevingen bevatten netwerkbeveiligingsgroepen standaard een impliciete regel voor weigeren met de laagste prioriteit en vereisen dat u expliciete regels voor toestaan toevoegt. Voeg regels voor toestaan toe voor uw netwerkbeveiligingsgroep op basis van een netwerkbenadering met de minste bevoegdheden. De onderliggende virtuele machines die worden gebruikt voor het hosten van de App Service Environment zijn niet rechtstreeks toegankelijk omdat ze zich in een door Microsoft beheerd abonnement bevinden.

Wanneer u Virtual Network-integratiefunctie gebruikt met virtuele netwerken in dezelfde regio, gebruikt u netwerkbeveiligingsgroepen en routetabellen met door de gebruiker gedefinieerde routes. Door de gebruiker gedefinieerde routes kunnen in het integratiesubnet worden geplaatst om uitgaand verkeer te verzenden zoals bedoeld.

Naslaginformatie: Uw app integreren met een virtueel Azure-netwerk

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Opmerkingen bij de functie: ondersteuning voor netwerkbeveiligingsgroepen is beschikbaar voor alle klanten die gebruikmaken van App Service-omgevingen, maar is alleen beschikbaar in geïntegreerde VNet-apps voor klanten die gebruikmaken van de openbare aanbieding voor meerdere tenants.

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: App Service Environment netwerken

NS-2: Cloudservices beveiligen met netwerkbesturingselementen

Functies

Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik privé-eindpunten voor uw Azure Web Apps om clients die zich in uw privénetwerk bevinden, veilig toegang te geven tot de apps via Private Link. Het privé-eindpunt gebruikt een IP-adres uit uw Azure VNet-adresruimte. Netwerkverkeer tussen een client in uw particuliere netwerk en de web-app loopt via het VNet en een Private Link op het Backbone-netwerk van Microsoft, waardoor blootstelling van het openbare internet wordt voorkomen.

Opmerking: privé-eindpunt wordt alleen gebruikt voor binnenkomende stromen naar uw web-app. Uitgaande stromen gebruiken dit privé-eindpunt niet. U kunt uitgaande stromen in uw netwerk in een ander subnet injecteren via de VNet-integratiefunctie. Het gebruik van privé-eindpunten voor services aan de ontvangende kant van App Service verkeer voorkomt dat SNAT plaatsvindt en biedt een stabiel uitgaand IP-bereik.

Aanvullende richtlijnen: als containers worden uitgevoerd op App Service die zijn opgeslagen in Azure Container Registry (ACR), moet u ervoor zorgen dat deze installatiekopieën worden opgehaald via een particulier netwerk. U kunt dit doen door een privé-eindpunt te configureren op de ACR die deze afbeeldingen opslaat in combinatie met het instellen van de toepassingsinstelling 'WEBSITE_PULL_IMAGE_OVER_VNET' in uw webtoepassing.

Naslaginformatie: Privé-eindpunten gebruiken voor Azure Web App

Openbare netwerktoegang uitschakelen

Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van IP-ACL-filterregels op serviceniveau of privé-eindpunten of door de publicNetworkAccess eigenschap in te stellen op uitgeschakeld in ARM.

Naslaginformatie: Toegangsbeperkingen voor Azure App Service instellen

NS-5: DDOS-beveiliging implementeren

Andere richtlijnen voor NS-5

Schakel DDOS Protection Standard in op het virtuele netwerk dat als host fungeert voor de Web Application Firewall van uw App Service. Azure biedt DDoS Basic-beveiliging op het netwerk, die kan worden verbeterd met intelligente DDoS Standard-mogelijkheden die meer te weten komen over normale verkeerspatronen en ongebruikelijk gedrag kunnen detecteren. DDoS Standard is van toepassing op een Virtual Network dus deze moet worden geconfigureerd voor de netwerkresource vóór de app, zoals Application Gateway of een NVA.

NS-6: Web Application Firewall implementeren

Andere richtlijnen voor NS-6

Voorkom dat WAF wordt overgeslagen voor uw toepassingen. Zorg ervoor dat de WAF niet kan worden overgeslagen door de toegang tot alleen de WAF te vergrendelen. Gebruik een combinatie van toegangsbeperkingen, service-eindpunten en privé-eindpunten.

Beveilig bovendien een App Service Environment door verkeer te routeren via een Web Application Firewall (WAF) Azure Application Gateway of Azure Front Door.

Voor de aanbieding met meerdere tenants beveiligt u binnenkomend verkeer naar uw app met:

  • Toegangsbeperkingen: een reeks regels voor toestaan of weigeren die binnenkomende toegang beheren
  • Service-eindpunten: kan binnenkomend verkeer van buiten opgegeven virtuele netwerken of subnetten weigeren
  • Privé-eindpunten: stel uw app beschikbaar aan uw Virtual Network met een privé-IP-adres. Als de privé-eindpunten zijn ingeschakeld voor uw app, is deze niet langer toegankelijk via internet

Overweeg het implementeren van een Azure Firewall om centraal beleid voor toepassings- en netwerkconnectiviteit te maken, af te dwingen en te registreren in uw abonnementen en virtuele netwerken. Azure Firewall maakt gebruik van een statisch openbaar IP-adres voor virtuele netwerkresources, waarmee externe firewalls verkeer kunnen identificeren dat afkomstig is van uw virtuele netwerk.

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik voor geverifieerde webtoepassingen alleen bekende gevestigde id-providers om gebruikerstoegang te verifiëren en autoriseren. Als uw app alleen toegankelijk moet zijn voor gebruikers van uw eigen organisatie, of anders gebruiken uw gebruikers allemaal Azure Active Directory (Azure AD), configureert u Azure AD als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.

Naslaginformatie: Verificatie en autorisatie in Azure App Service en Azure Functions

Lokale verificatiemethoden voor toegang tot gegevensvlak

Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.

Configuratierichtlijnen: Beperk het gebruik van lokale verificatiemethoden voor toegang tot het gegevensvlak. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.

Naslaginformatie: Verificatie en autorisatie in Azure App Service en Azure Functions

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Een veelvoorkomend scenario voor het gebruik van een beheerde identiteit met App Service is toegang tot andere Azure PaaS-services, zoals Azure SQL Database, Azure Storage of Key Vault.

Naslaginformatie: Beheerde identiteiten gebruiken voor App Service en Azure Functions

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Aanvullende richtlijnen: hoewel service-principals door de service worden ondersteund als een patroon voor verificatie, raden we u aan waar mogelijk beheerde identiteiten te gebruiken.

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.Web:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten beheerde identiteit gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: zorg ervoor dat app-geheimen en -referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden. Gebruik een beheerde identiteit in uw app om vervolgens op een veilige manier toegang te krijgen tot referenties of geheimen die zijn opgeslagen in Key Vault.

Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions

Bevoegde toegang

Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.

PA-7: Volg het principe just enough administration (least privilege)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Functies

Detectie en classificatie van gevoelige gegevens

Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: Implementeer referentiescanner in uw build-pijplijn om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

Functies

Preventie van gegevenslekken/-verlies

Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: Hoewel functies voor gegevensidentificatie, classificatie en verliespreventie nog niet beschikbaar zijn voor App Service, kunt u het risico op gegevensexfiltratie van het virtuele netwerk verminderen door alle regels te verwijderen waarbij de bestemming een 'tag' gebruikt voor internet- of Azure-services.

Microsoft beheert de onderliggende infrastructuur voor App Service en heeft strikte controles geïmplementeerd om verlies of blootstelling van uw gegevens te voorkomen.

Gebruik tags om te helpen bij het bijhouden van App Service resources die gevoelige informatie opslaan of verwerken.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Versleuteling van gegevens in transit

Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik en afdwingen van de minimale standaardversie van TLS v1.2, geconfigureerd in TLS/SSL-instellingen, voor het versleutelen van alle gegevens die onderweg zijn. Zorg er ook voor dat alle HTTP-verbindingsaanvragen worden omgeleid naar HTTPS.

Naslaginformatie: Een TLS/SSL-certificaat toevoegen in Azure App Service

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.Web:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met platformsleutels

Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Functieopmerkingen: Website-inhoud in een App Service-app, zoals bestanden, wordt opgeslagen in Azure Storage, waardoor de inhoud in rust automatisch wordt versleuteld. Kies ervoor om toepassingsgeheimen op te slaan in Key Vault en deze op te halen tijdens runtime.

Door de klant opgegeven geheimen worden in rust versleuteld terwijl ze worden opgeslagen in App Service configuratiedatabases.

Hoewel lokaal gekoppelde schijven optioneel door websites kunnen worden gebruikt als tijdelijke opslag (bijvoorbeeld D:\local en %TMP%), worden ze alleen versleuteld at rest in de openbare multitenant App Service aanbieding waar de Pv3-SKU kan worden gebruikt. Voor oudere openbare schaaleenheden met meerdere tenants waarbij de Pv3-SKU niet beschikbaar is, moet de klant een nieuwe resourcegroep maken en hun resources daar opnieuw implementeren.

Bovendien heeft de klant de mogelijkheid om de toepassing rechtstreeks vanuit een ZIP-pakket uit te voeren in App Service. Ga voor meer informatie naar: Uw app rechtstreeks vanuit een ZIP-pakket uitvoeren in Azure App Service.

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

Functies

Data-at-rest-versleuteling met cmk

Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.

Opmerking: website-inhoud in een App Service-app, zoals bestanden, wordt opgeslagen in Azure Storage, waardoor de inhoud in rust automatisch wordt versleuteld. Kies ervoor om toepassingsgeheimen op te slaan in Key Vault en deze op te halen tijdens runtime.

Door de klant opgegeven geheimen worden in rust versleuteld terwijl ze worden opgeslagen in App Service configuratiedatabases.

Hoewel lokaal gekoppelde schijven optioneel door websites kunnen worden gebruikt als tijdelijke opslag (bijvoorbeeld D:\local en %TMP%), worden ze niet versleuteld at rest.

Naslaginformatie: Versleuteling at rest met door de klant beheerde sleutels

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.

Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: App Service kunnen worden geconfigureerd met SSL/TLS en andere certificaten, die rechtstreeks op App Service kunnen worden geconfigureerd of waarnaar kan worden verwezen vanuit Key Vault. Voor een centraal beheer van alle certificaten en geheimen slaat u alle certificaten die door App Service worden gebruikt, op in Key Vault in plaats van ze rechtstreeks lokaal op App Service te implementeren. Wanneer dit is geconfigureerd, downloadt App Service automatisch het meest recente certificaat uit Azure Key Vault. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault op basis van een gedefinieerd schema of wanneer er een certificaat verloopt.

Naslaginformatie: Een TLS/SSL-certificaat toevoegen in Azure App Service

Asset-management

Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.

Opmerking: definieer en implementeer standaardbeveiligingsconfiguraties voor uw App Service geïmplementeerde apps met Azure Policy. Gebruik ingebouwde Azure Policy definities en Azure Policy aliassen in de naamruimte 'Microsoft.Web' om aangepast beleid te maken om systeemconfiguraties te waarschuwen, te controleren en af te dwingen. Een proces en pijplijn ontwikkelen voor het beheren van beleidsonderzondering.

Naslaginformatie: Azure Policy controles voor naleving van regelgeving voor Azure App Service

AM-4: Toegang tot assetbeheer beperken

Andere richtlijnen voor AM-4

Systemen isoleren die gevoelige informatie verwerken. Gebruik hiervoor afzonderlijke App Service-abonnementen of App Service-omgevingen en overweeg het gebruik van verschillende abonnementen of beheergroepen.

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbod

Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender voor App Service om aanvallen te identificeren die gericht zijn op toepassingen die worden uitgevoerd via App Service. Wanneer u Microsoft Defender inschakelt voor App Service, profiteert u onmiddellijk van de volgende services die door dit Defender-abonnement worden aangeboden:

  • Veilig: Defender voor App Service beoordeelt de resources die onder uw App Service-plan vallen en genereert beveiligingsaanbevelingen op basis van de bevindingen. Gebruik de gedetailleerde instructies in deze aanbevelingen om uw App Service resources te beperken.

  • Detecteren: Defender voor App Service detecteert een groot aantal bedreigingen voor uw App Service resources door het VM-exemplaar te bewaken waarin uw App Service wordt uitgevoerd en de beheerinterface, de aanvragen en antwoorden die worden verzonden naar en van uw App Service-apps, de onderliggende sandboxes en VM's, en App Service interne logboeken.

Naslaginformatie: uw web-apps en API's beveiligen

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel resourcelogboeken in voor uw web-apps op App Service.

Naslaginformatie: Diagnostische logboekregistratie inschakelen voor apps in Azure App Service

Postuur en beheer van beveiligingsproblemen

Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.

PV-2: Beveiligde configuraties controleren en afdwingen

Andere richtlijnen voor PV-2

Schakel externe foutopsporing uit. Externe foutopsporing mag niet worden ingeschakeld voor productieworkloads, omdat hierdoor extra poorten op de service worden geopend, waardoor de kwetsbaarheid voor aanvallen toeneemt.

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.Web:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Voor functie-apps moeten clientcertificaten (inkomende clientcertificaten) zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. Controle, uitgeschakeld 3.1.0-afgeschaft

PV-7: Voer regelmatig rode teambewerkingen uit

Andere richtlijnen voor PV-7

Voer regelmatig een penetratietest uit op uw webtoepassingen volgens de penetratietestregels van betrokkenheid.

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: implementeer waar mogelijk staatloos toepassingsontwerp om herstel- en back-upscenario's te vereenvoudigen met App Service.

Als u echt een stateful toepassing wilt onderhouden, schakelt u de functie Back-up en herstel in App Service in, waarmee u eenvoudig handmatig of volgens een schema back-ups van apps kunt maken. U kunt configureren dat de back-ups voor onbepaalde tijd worden bewaard. U kunt de app herstellen naar een momentopname van een eerdere status door de bestaande app te overschrijven of te herstellen naar een andere app. Zorg ervoor dat regelmatige en geautomatiseerde back-ups worden uitgevoerd met een frequentie die is gedefinieerd in uw organisatiebeleid.

Opmerking: App Service kunt een back-up maken van de volgende informatie naar een Azure-opslagaccount en -container, die u in uw app hebt geconfigureerd voor gebruik:

  • App-configuratie
  • Bestandsinhoud
  • Database verbonden met uw app

Naslaginformatie: een back-up maken van uw app in Azure

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DevOps-beveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: DevOps-beveiliging voor meer informatie.

DS-6: Beveiliging van workload afdwingen tijdens de DevOps-levenscyclus

Andere richtlijnen voor DS-6

Implementeer code in App Service vanuit een beheerde en vertrouwde omgeving, zoals een goed beheerde en beveiligde DevOps-implementatiepijplijn. Hiermee voorkomt u dat code die niet door de versie wordt beheerd en die is geverifieerd, wordt geïmplementeerd vanaf een schadelijke host.

Volgende stappen