Azure-beveiligingsbasislijn voor Azure Container Apps - Azure Arc
Artikel
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op Azure Container Apps - Azure Arc. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingsbesturingselementen die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Container Apps - Azure Arc.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van Azure Container Apps - Azure Arc, wat kan leiden tot verhoogde beveiligingsoverwegingen.
Kenmerk servicegedrag
Waarde
Productcategorie
Containers
Klant heeft toegang tot HOST/besturingssysteem
Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Functieopmerkingen: wanneer u een nieuwe toepassing registreert in Azure AD, wordt automatisch een service-principal gemaakt voor de app-registratie.
Configuratierichtlijnen: Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure Active Directory (Azure AD) om een service-principal met beperkte machtigingen op resourceniveau te maken. Service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen voor verificatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft waarmee aanvragen naar een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Verken het filteren van netwerkverkeer met netwerkbeveiligingsgroep, stel Microsoft Defender voor Cloud in, maak een Log Analytics-werkruimte, configureer Log Analytics-agentintegratie, Azure Key Vault-netwerken en verbind een Azure SQL-server met behulp van een privé-eindpunt in Azure Portal. Verbeter de cloudbeveiliging effectief. (SC-5002)
Demonstreert de basisprincipes van gegevensbeveiliging, levenscyclusbeheer, informatiebeveiliging en naleving om een Microsoft 365-implementatie te beschermen.