Linha de base de segurança do Azure para o Serviço de Aplicativo
Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 a Serviço de Aplicativo. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Serviço de Aplicativo.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, elas são listadas nessa linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a Serviço de Aplicativo foram excluídos. Para ver como Serviço de Aplicativo mapeia completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo de mapeamento completo da linha de base de segurança Serviço de Aplicativo.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Serviço de Aplicativo, o que pode resultar em considerações de segurança maiores.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Computação, Web |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente em repouso | True |
Segurança de rede
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.
NS-1: estabelecer limites de segmentação de rede
Recursos
Integração de rede virtual
Descrição: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Notas de recurso: Rede Virtual Integração é configurada por padrão ao usar ambientes Serviço de Aplicativo, mas deve ser configurada manualmente ao usar a oferta pública multilocatário.
Diretrizes de configuração: verifique se há um IP estável para comunicações de saída em relação aos endereços da Internet: você pode fornecer um IP de saída estável usando o recurso de integração Rede Virtual. Isso permite que a parte receptora permita a lista com base no IP, caso isso seja necessário.
Ao usar Serviço de Aplicativo no tipo de preço Isolado, também chamado de ASE (Ambiente do Serviço de Aplicativo), você pode implantar diretamente em uma sub-rede no Rede Virtual do Azure. Use grupos de segurança de rede para proteger seu Ambiente do Serviço de Aplicativo do Azure, bloqueando o tráfego de entrada e de saída para recursos na rede virtual ou para restringir o acesso a aplicativos em um Ambiente do Serviço de Aplicativo.
No Serviço de Aplicativo multilocatário (um aplicativo que não está na camada Isolada), habilite seus aplicativos para acessar recursos em ou por meio de um Rede Virtual com o recurso integração de Rede Virtual. Em seguida, você pode usar grupos de segurança de rede para controlar o tráfego de saída do seu aplicativo. Ao usar Rede Virtual Integration, você pode habilitar a configuração 'Rotear Tudo' para tornar todo o tráfego de saída sujeito a grupos de segurança de rede e rotas definidas pelo usuário na sub-rede de integração. Esse recurso também pode ser usado para bloquear o tráfego de saída para endereços públicos do aplicativo. A Integração de Rede Virtual não pode ser usada para fornecer acesso de entrada a um aplicativo.
Para comunicações com os Serviços do Azure, geralmente não há necessidade de depender do endereço IP e a mecânica, como pontos de extremidade de serviço, deve ser usada.
Observação: para ambientes de Serviço de Aplicativo, por padrão, os grupos de segurança de rede incluem uma regra de negação implícita na prioridade mais baixa e exigem que você adicione regras de permissão explícitas. Adicione regras de permissão para o grupo de segurança de rede com base em uma abordagem de rede com privilégios mínimos. As máquinas virtuais subjacentes usadas para hospedar o Ambiente do Serviço de Aplicativo não são acessíveis diretamente, pois estão em uma assinatura gerenciada pela Microsoft.
Ao usar o recurso de Integração de Rede Virtual com redes virtuais na mesma região, use grupos de segurança de rede e tabelas com rotas definidas pelo usuário. As rotas definidas pelo usuário podem ser colocadas na sub-rede de integração para enviar o tráfego de saída como pretendido.
Referência: integrar seu aplicativo a uma rede virtual do Azure
Suporte ao Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regra de Grupos de Segurança de Rede em suas sub-redes. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Notas sobre o recurso: o suporte ao Grupo de Segurança de Rede está disponível para todos os clientes que usam ambientes Serviço de Aplicativo, mas só está disponível em aplicativos integrados à VNet para clientes que usam a oferta pública multilocatário.
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Referência: rede Ambiente do Serviço de Aplicativo
NS-2: proteger serviços de nuvem com controles de rede
Recursos
Link Privado do Azure
Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não deve ser confundida com NSG ou Firewall do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use pontos de extremidade privados para seu Aplicativos Web do Azure para permitir que os clientes localizados em sua rede privada acessem com segurança os aplicativos por Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da VNet do Azure. O tráfego de rede entre um cliente em sua rede privada e o Web App atravessa a VNet e um Link Privado na rede principal da Microsoft, eliminando a exposição da Internet pública.
Observação: o ponto de extremidade privado só é usado para fluxos de entrada para seu aplicativo Web. Os fluxos de saída não usarão esse ponto de extremidade privado. Você pode injetar fluxos de saída na sua rede em uma sub-rede diferente por meio do recurso de integração da VNet. O uso de pontos de extremidade privados para serviços na extremidade de recebimento de Serviço de Aplicativo tráfego evita que o SNAT aconteça e fornece um intervalo de IP de saída estável.
Diretrizes adicionais: se estiver executando contêineres em Serviço de Aplicativo armazenados no ACR (Registro de Contêiner do Azure), verifique se essas imagens são extraídas em uma rede privada. Faça isso configurando um ponto de extremidade privado no ACR armazenando essas imagens em conjunto com a configuração do aplicativo "WEBSITE_PULL_IMAGE_OVER_VNET" em seu aplicativo Web.
Referência: usando pontos de extremidade privados para o aplicativo Web do Azure
Desabilitar o acesso à rede pública
Descrição: o serviço dá suporte à desabilitação do acesso à rede pública usando a regra de filtragem de ACL de IP no nível de serviço (não NSG ou Firewall do Azure) ou usando um comutador de alternância "Desabilitar Acesso à Rede Pública". Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: desabilite o Acesso à Rede Pública usando regras de filtragem de ACL de IP no nível de serviço ou pontos de extremidade privados ou definindo a publicNetworkAccess propriedade como desabilitada no ARM.
Referência: configurar restrições de acesso Serviço de Aplicativo do Azure
NS-5: implantar proteção contra DDOS
Outras diretrizes para o NS-5
Habilite a Proteção contra DDOS Standard na rede virtual que hospeda o Firewall de Aplicativo Web do Serviço de Aplicativo. O Azure fornece proteção básica contra DDoS em sua rede, que pode ser aprimorada com recursos inteligentes do DDoS Standard que aprendem sobre padrões de tráfego normais e podem detectar comportamentos incomuns. O DDoS Standard se aplica a um Rede Virtual, portanto, ele deve ser configurado para o recurso de rede na frente do aplicativo, como Gateway de Aplicativo ou uma NVA.
NS-6: implantar firewall do aplicativo Web
Outras diretrizes para ns-6
Evite que o WAF seja ignorado pelos aplicativos. Verifique se o WAF não pode ser ignorado bloqueando o acesso somente ao WAF. Use uma combinação de Restrições de Acesso, Pontos de Extremidade de Serviço e Pontos de Extremidade Privados.
Além disso, proteja um Ambiente do Serviço de Aplicativo roteando o tráfego por meio de uma Gateway de Aplicativo do Azure habilitada para Firewall de Aplicativo Web (WAF) ou Azure Front Door.
Para a oferta multilocatário, proteja o tráfego de entrada para seu aplicativo com:
- Restrições de acesso: uma série de regras de permissão ou negação que controlam o acesso de entrada
- Pontos de extremidade de serviço: pode negar o tráfego de entrada de fora de redes virtuais ou sub-redes especificadas
- Pontos de extremidade privados: exponha seu aplicativo ao seu Rede Virtual com um endereço IP privado. Com os pontos de extremidade privados habilitados no aplicativo, não há mais acessibilidade pela Internet.
Considere a implementação de um Firewall do Azure para criar, aplicar e registrar de forma centralizada as políticas de conectividade de aplicativo e rede em suas assinaturas e redes virtuais. O Firewall do Azure usa um endereço IP público estático para os recursos de rede virtual, permitindo que firewalls externos identifiquem o tráfego originário da sua rede virtual.
Gerenciamento de identidades
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.
IM-1: usar um sistema centralizado de identidade e autenticação
Recursos
Autenticação do Azure AD necessária para acesso ao plano de dados
Descrição: o serviço dá suporte ao uso Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: para aplicativos Web autenticados, use apenas provedores de identidade estabelecidos conhecidos para autenticar e autorizar o acesso do usuário. Caso seu aplicativo só deva ser acessado por usuários de sua própria organização ou, caso contrário, os usuários estejam usando o Azure Active Directory (Azure AD), configure Azure AD como o método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: autenticação e autorização em Serviço de Aplicativo do Azure e Azure Functions
Métodos de autenticação local para acesso ao plano de dados
Descrição: métodos de autenticações locais com suporte para acesso ao plano de dados, como um nome de usuário local e senha. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Notas de recurso: evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.
Diretrizes de configuração: restrinja o uso de métodos de autenticação local para acesso ao plano de dados. EM vez disso, use o Azure AD (Azure Active Directory) como método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: autenticação e autorização em Serviço de Aplicativo do Azure e Azure Functions
IM-3: gerenciar identidades de aplicativos de maneira segura e automática
Recursos
Identidades gerenciadas
Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar em serviços e recursos do Azure que dão suporte à autenticação do Azure Active Directory (Azure AD). As credenciais de identidades gerenciadas são completamente gerenciadas, giradas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou arquivos de configuração.
Um cenário comum para usar uma identidade gerenciada com Serviço de Aplicativo é acessar outros serviços de PaaS do Azure, como Banco de Dados SQL do Azure, Armazenamento do Azure ou Key Vault.
Referência: como usar identidades gerenciadas para Serviço de Aplicativo e Azure Functions
Entidades de Serviço
Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes adicionais: embora as entidades de serviço tenham suporte do serviço como um padrão para autenticação, recomendamos usar identidades gerenciadas sempre que possível.
Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy - Microsoft.Web:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
IM-7: restringir o acesso aos recursos com base nas condições
Recursos
Acesso condicional para o plano de dados
Descrição: o acesso ao plano de dados pode ser controlado usando Azure AD Políticas de Acesso Condicional. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de Configuração: defina as condições e os critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de uso comuns, como bloquear ou conceder acesso de locais específicos, bloquear comportamentos de entrada arriscados ou exigir dispositivos gerenciados pela organização para aplicativos específicos.
IM-8: restringir a exposição de credenciais e segredos
Recursos
Armazenamento e integração de suporte a segredos e credenciais de serviço no Azure Key Vault
Descrição: o plano de dados dá suporte ao uso nativo de Key Vault do Azure para armazenamento de credenciais e segredos. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: verifique se os segredos e as credenciais do aplicativo são armazenados em locais seguros, como Key Vault do Azure, em vez de inseri-los em arquivos de código ou de configuração. Use uma identidade gerenciada no aplicativo para acessar credenciais ou segredos armazenados no Key Vault de maneira segura.
Referência: usar referências de Key Vault para Serviço de Aplicativo e Azure Functions
Acesso privilegiado
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: acesso privilegiado.
PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)
Recursos
RBAC do Azure para Plano de Dados
Descrição: o RBAC do Azure (Azure Role-Based Controle de Acesso) pode ser usado para obter acesso gerenciado às ações do plano de dados do serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
PA-8: determinar o processo de acesso para suporte ao provedor de nuvem
Recursos
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser usado para acesso de suporte da Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Sistema de Proteção de Dados do Cliente para revisar e, em seguida, aprovar ou rejeitar cada uma das solicitações de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.
DP-1: Descobrir, classificar e rotular dados confidenciais
Recursos
Descoberta e Classificação de Dados Confidenciais
Descrição: ferramentas (como o Azure Purview ou o Azure Proteção de Informações) podem ser usadas para descoberta e classificação de dados no serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de recurso: implemente o Verificador de Credenciais em seu pipeline de build para identificar credenciais dentro do código. O verificador de credenciais também encorajará a migração de credenciais descobertas para locais mais seguros, como o Azure Key Vault.
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
DP-2: monitorar anomalias e ameaças direcionadas a dados confidenciais
Recursos
Prevenção contra perda/vazamento de dados
Descrição: o serviço dá suporte à solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de recurso: embora os recursos de identificação, classificação e prevenção de perda de dados ainda não estejam disponíveis para Serviço de Aplicativo, você pode reduzir o risco de exfiltração de dados da rede virtual removendo todas as regras em que o destino usa uma 'marca' para serviços da Internet ou do Azure.
A Microsoft gerencia a infraestrutura subjacente do Serviço de Aplicativo e implementou controles estritos para evitar a perda ou a exposição dos seus dados.
Use marcas para ajudar no acompanhamento Serviço de Aplicativo recursos que armazenam ou processam informações confidenciais.
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
DP-3: criptografar dados confidenciais ativos
Recursos
Criptografia de dados em trânsito
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use e imponha a versão mínima padrão do TLS v1.2, definida nas configurações de TLS/SSL, para criptografar todas as informações em trânsito. Além disso, certifique-se de que todas as solicitações de conexão HTTP sejam redirecionadas para HTTPS.
Referência: adicionar um certificado TLS/SSL no Serviço de Aplicativo do Azure
Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy - Microsoft.Web:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
DP-4: habilitar a criptografia de dados inativos por padrão
Recursos
Criptografia de dados em repouso usando chaves de plataforma
Descrição: há suporte para a criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: o conteúdo do site em um aplicativo Serviço de Aplicativo, como arquivos, é armazenado no Armazenamento do Azure, que criptografa automaticamente o conteúdo em repouso. Escolha armazenar segredos do aplicativo no Key Vault e recuperá-los no runtime.
Os segredos fornecidos pelo cliente são criptografados em repouso enquanto estão armazenados nos bancos de dados de configuração do Serviço de Aplicativo.
Observe que, embora os discos anexados localmente possam ser usados opcionalmente por sites como armazenamento temporário(por exemplo, D:\local e %TMP%), eles só são criptografados em repouso na oferta pública de Serviço de Aplicativo multilocatário em que o SKU Pv3 pode ser usado. Para unidades de escala públicas multilocatários mais antigas em que o SKU Pv3 não está disponível, o cliente deve criar um novo grupo de recursos e reimplantar seus recursos lá.
Além disso, o cliente tem a opção de executar seu aplicativo em Serviço de Aplicativo diretamente de um pacote ZIP. Para obter mais informações, visite: Executar seu aplicativo em Serviço de Aplicativo do Azure diretamente de um pacote ZIP.
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
DP-5: usar a opção de chave gerenciada pelo cliente na criptografia de dados inativos quando necessário
Recursos
Criptografia de dados inativos usando a CMK
Descrição: a criptografia de dados em repouso usando chaves gerenciadas pelo cliente tem suporte para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: se necessário para conformidade regulatória, defina o caso de uso e o escopo do serviço em que a criptografia que usa chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados inativos usando a chave gerenciada pelo cliente para esses serviços.
Observação: o conteúdo do site em um aplicativo Serviço de Aplicativo, como arquivos, é armazenado no Armazenamento do Azure, que criptografa automaticamente o conteúdo em repouso. Escolha armazenar segredos do aplicativo no Key Vault e recuperá-los no runtime.
Os segredos fornecidos pelo cliente são criptografados em repouso enquanto estão armazenados nos bancos de dados de configuração do Serviço de Aplicativo.
Observe que, embora os discos conectados localmente possam ser usados opcionalmente por sites como armazenamento temporário (por exemplo, D:\local e %TMP%), eles não são criptografados em repouso.
Referência: criptografia em repouso usando chaves gerenciadas pelo cliente
DP-6: usar um processo de gerenciamento de chaves seguro
Recursos
Gerenciamento de chaves no Azure Key Vault
Descrição: o serviço dá suporte à integração de Key Vault do Azure para quaisquer chaves, segredos ou certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no Azure Key Vault e seu serviço com base em um agendamento definido ou quando houver uma desativação ou comprometimento importante. Quando houver a necessidade de usar a CMK (chave gerenciada pelo cliente) no nível da carga de trabalho, do serviço ou do aplicativo, siga as práticas recomendadas para o gerenciamento de chaves: use uma hierarquia de chaves para gerar uma DEK (chave de criptografia de dados) separada com sua KEK (chave de criptografia de chave) no cofre de chaves. Verifique se as chaves estão registradas no Azure Key Vault e referenciadas por meio de IDs de chave do serviço ou aplicativo. Se você precisar trazer sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM de seus HSMs locais para o Azure Key Vault), siga as diretrizes recomendadas para executar a geração inicial de chaves e a transferência de chave.
Referência: usar referências de Key Vault para Serviço de Aplicativo e Azure Functions
DP-7: usar um processo seguro de gerenciamento de certificados
Recursos
Gerenciamento de certificados no Azure Key Vault
Descrição: o serviço dá suporte à integração de Key Vault do Azure para todos os certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: Serviço de Aplicativo podem ser configurados com SSL/TLS e outros certificados, que podem ser configurados diretamente no Serviço de Aplicativo ou referenciados de Key Vault. Para garantir o gerenciamento central de todos os certificados e segredos, armazene todos os certificados usados pelo Serviço de Aplicativo no Key Vault em vez de implantá-los localmente no Serviço de Aplicativo diretamente. Quando isso estiver configurado Serviço de Aplicativo baixará automaticamente o certificado mais recente do Azure Key Vault. Verifique se a geração de certificados segue os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault com base em um agendamento definido ou quando houver uma expiração do certificado.
Referência: adicionar um certificado TLS/SSL no Serviço de Aplicativo do Azure
Gerenciamento de ativos
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de ativos.
AM-2: usar apenas serviços aprovados
Recursos
Suporte ao Azure Policy
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos. Use Azure Policy efeitos [negar] e [implantar se não existir] para impor a configuração segura entre os recursos do Azure.
Observação: defina e implemente configurações de segurança padrão para seus aplicativos implantados Serviço de Aplicativo com Azure Policy. Use definições de Azure Policy internas, bem como aliases Azure Policy no namespace "Microsoft.Web" para criar políticas personalizadas para alertar, auditar e impor configurações do sistema. Desenvolva um processo e um pipeline para gerenciar exceções de política.
Referência: Azure Policy controles de Conformidade Regulatória para Serviço de Aplicativo do Azure
AM-4: limitar o acesso ao gerenciamento de ativos
Outras diretrizes para AM-4
Isole sistemas que processam informações confidenciais. Para fazer isso, use Planos do Serviço de Aplicativo ou Ambientes do Serviço de Aplicativo separados e considere o uso de assinaturas ou grupos de gerenciamento diferentes.
Registro em log e detecção de ameaças
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: registro em log e detecção de ameaças.
LT-1: habilitar funcionalidades de detecção de ameaças
Recursos
Microsoft Defender para oferta de serviço/produto
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorar e alertar sobre problemas de segurança. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: use Microsoft Defender para Serviço de Aplicativo para identificar ataques direcionados a aplicativos em execução em Serviço de Aplicativo. Quando você habilita o Microsoft Defender para o Serviço de Aplicativo, você se beneficia imediatamente dos seguintes serviços oferecidos por esse plano do Microsoft Defender:
Seguro: o Defender para Serviço de Aplicativo avalia os recursos cobertos pelo seu plano de Serviço de Aplicativo e gera recomendações de segurança com base em suas descobertas. Use as instruções detalhadas nessas recomendações para proteger os recursos do Serviço de Aplicativo.
Detectar: o Defender para Serviço de Aplicativo detecta uma infinidade de ameaças aos recursos do Serviço de Aplicativo monitorando a instância da VM na qual o Serviço de Aplicativo está em execução e sua interface de gerenciamento, as solicitações e respostas enviadas de e para o Serviço de Aplicativo aplicativos, as áreas restritas e VMs subjacentes e Serviço de Aplicativo logs internos.
Referência: Proteger seus aplicativos Web e APIs
LT-4: habilitar o registro em log para investigação de segurança
Recursos
Azure Resource Logs
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: habilite os logs de recursos para seus aplicativos Web no Serviço de Aplicativo.
Referência: habilitar o registro em log de diagnóstico para aplicativos no Serviço de Aplicativo do Azure
Gerenciamento de vulnerabilidades e postura
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de postura e vulnerabilidades.
PV-2: auditar e impor configurações seguras
Outras diretrizes para PV-2
Desativar a depuração remota, a depuração remota não deve ser ativada para cargas de trabalho de produção, pois isso abre portas adicionais no serviço, o que aumenta a superfície de ataque.
Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy - Microsoft.Web:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os aplicativos de funções devem ter 'Certificados do cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0 preterido |
PV-7: conduzir operações regulares de equipe vermelha
Outras diretrizes para PV-7
Realize um teste de penetração regular em seus aplicativos Web seguindo as regras de teste de penetração de envolvimento.
Backup e recuperação
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: backup e recuperação.
BR-1: garantir backups automatizados regulares
Recursos
Serviço de Backup do Azure
Descrição: o serviço pode ser copiado em backup pelo serviço Backup do Azure. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Diretrizes de configuração: sempre que possível, implemente o design de aplicativos sem estado para simplificar cenários de recuperação e backup com Serviço de Aplicativo.
Se você realmente precisar manter um aplicativo com estado, habilite o recurso backup e restauração em Serviço de Aplicativo que permite criar facilmente backups de aplicativo manualmente ou em um agendamento. Você pode configurar os backups para que sejam mantidos até um período indefinido. Você pode restaurar o aplicativo em um instantâneo de um estado anterior, substituindo o aplicativo existente ou restaurando em outro aplicativo. Verifique se os backups regulares e automatizados ocorrem em uma frequência, conforme definido pelas políticas organizacionais.
Observação: Serviço de Aplicativo pode fazer backup das seguintes informações em uma conta de armazenamento e contêiner do Azure, que você configurou seu aplicativo para usar:
- Configuração do aplicativo
- Conteúdo do arquivo
- Banco de dados conectado ao seu aplicativo
Referência: fazer backup do aplicativo no Azure
Funcionalidade de backup nativo do serviço
Descrição: o serviço dá suporte à sua própria funcionalidade de backup nativo (se não estiver usando Backup do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Segurança de DevOps
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de DevOps.
DS-6: Impor a segurança da carga de trabalho durante todo o ciclo de vida de DevOps
Outras diretrizes para DS-6
Implante código no Serviço de Aplicativo de um ambiente controlado e confiável, como um pipeline de implantação de DevOps bem gerenciado e seguro. Isso evita o código que não foi controlado por versão e verificado para ser implantado de um host mal-intencionado.
Próximas etapas
- Confira a Visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure