Azure-beveiligingsbasislijn voor Azure Spring Apps
Artikel
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Azure Spring Apps. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingsmaatregelen die zijn gedefinieerd door de Microsoft Cloud Security Benchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Spring Apps.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Implementeer Azure Spring Apps in uw eigen virtuele netwerk tijdens het inrichten van service-exemplaren. Vervolgens worden apps en serviceruntime in Azure Spring Apps geïsoleerd van het openbare internet.
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken).
Houd er rekening mee dat een aantal poorten en adressen toegankelijk moeten zijn voor onderhoudstaken. Raadpleeg de verwijzing.
NS-2: Cloudservices beveiligen met netwerkbesturing
Functies
Azure Private Link
Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Openbare netwerktoegang uitschakelen
Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Azure Spring Cloud-exemplaren moeten om de volgende redenen virtuele netwerkinjectie gebruiken: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
IM-8: beperk de blootstelling van referenties en geheimen
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Functieopmerkingen: Het gegevensvlak van Azure Spring Cloud bevat twee onderdelen: klant-apps en beheerde onderdelen.
Voor klant-apps kunnen ze beheerde identiteit gebruiken om toegang te krijgen tot Key Vault.
Voor beheerde onderdelen wordt Key Vault integratie nog niet ondersteund.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken voor het beheren van de toegang tot de ingebouwde Spring Cloud-configuratieserver en het Spring Cloud-serviceregister in Azure Spring Apps. Ingebouwde roldefinitie en instructies worden beschreven in het onderstaande document.
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Bij het inschakelen van een aangepast domein voor apps in Azure Spring Apps kan de klant certificaten opslaan in Azure Key Vault en importeren in Azure Spring Apps om TLS (Transport Layer Security) af te dwingen tegen binnenkomend verkeer.
Raadpleeg de referentie voor gedetailleerde instructies.
LT-1: mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbod
Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: schakel verschillende typen resourcelogboeken in Azure Spring Apps in, waaronder consolelogboeken van klant-apps, logboeken van beheerde onderdelen, logboeken voor inkomend verkeer en het maken van taaklogboeken.
Raadpleeg de naslaginformatie voor meer informatie.
Verken het filteren van netwerkverkeer met netwerkbeveiligingsgroep, stel Microsoft Defender voor Cloud in, maak een Log Analytics-werkruimte, configureer Log Analytics-agentintegratie, Azure Key Vault-netwerken en verbind een Azure SQL-server met behulp van een privé-eindpunt in Azure Portal. Verbeter de cloudbeveiliging effectief. (SC-5002)
Demonstreer de vaardigheden die nodig zijn voor het implementeren van beveiligingscontroles, het onderhouden van de beveiligingspostuur van een organisatie en het identificeren en oplossen van beveiligingsproblemen.