Linha de base de segurança do Azure para o Serviço de Aplicações
Esta linha de base de segurança aplica orientações da versão 1.0 da referência de segurança da cloud da Microsoft ao Serviço de Aplicações. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis aos Serviço de Aplicações.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis a Serviço de Aplicações foram excluídas. Para ver como Serviço de Aplicações mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Serviço de Aplicações.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Serviço de Aplicações, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Computação, Web |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Rede Virtual Integração está configurada por predefinição ao utilizar ambientes de Serviço de Aplicações, mas tem de ser configurada manualmente ao utilizar a oferta multi-inquilino pública.
Orientação de Configuração: garanta um IP estável para comunicações de saída para endereços da Internet: pode fornecer um IP de saída estável com a funcionalidade de integração Rede Virtual. Isto permite que a parte recedora permita a lista com base no IP, caso seja necessário.
Ao utilizar Serviço de Aplicações no escalão de preço Isolado, também denominado Ambiente do Serviço de Aplicações (ASE), pode implementar diretamente numa sub-rede no seu Rede Virtual do Azure. Utilize grupos de segurança de rede para proteger o ambiente de Serviço de Aplicações do Azure ao bloquear o tráfego de entrada e saída para recursos na sua rede virtual ou para restringir o acesso a aplicações num Ambiente do Serviço de Aplicações.
No Serviço de Aplicações multi-inquilino (uma aplicação que não está no escalão Isolado), permita que as suas aplicações acedam a recursos dentro ou através de um Rede Virtual com a funcionalidade integração do Rede Virtual. Em seguida, pode utilizar grupos de segurança de rede para controlar o tráfego de saída da sua aplicação. Ao utilizar o Rede Virtual Integration, pode ativar a configuração "Encaminhar Tudo" para tornar todo o tráfego de saída sujeito a grupos de segurança de rede e rotas definidas pelo utilizador na sub-rede de integração. Esta funcionalidade também pode ser utilizada para bloquear o tráfego de saída para endereços públicos a partir da aplicação. Rede Virtual Não é possível utilizar a Integração para fornecer acesso de entrada a uma aplicação.
Para comunicações com os Serviços do Azure, muitas vezes não é necessário depender do endereço IP e os mecanismos, como os Pontos Finais de Serviço, devem ser utilizados.
Nota: para ambientes de Serviço de Aplicações, por predefinição, os grupos de segurança de rede incluem uma regra de negação implícita na prioridade mais baixa e requerem que adicione regras de permissão explícitas. Adicione regras de permissão para o grupo de segurança de rede com base numa abordagem de rede com menos privilégios. As máquinas virtuais subjacentes que são utilizadas para alojar o Ambiente do Serviço de Aplicações não estão diretamente acessíveis porque estão numa subscrição gerida pela Microsoft.
Ao utilizar Rede Virtual funcionalidade integração com redes virtuais na mesma região, utilize grupos de segurança de rede e tabelas de rotas com rotas definidas pelo utilizador. As rotas definidas pelo utilizador podem ser colocadas na sub-rede de integração para enviar tráfego de saída conforme pretendido.
Referência: Integrar a sua aplicação numa rede virtual do Azure
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o suporte do Grupo de Segurança de Rede está disponível para todos os clientes que utilizam ambientes de Serviço de Aplicações, mas só está disponível em aplicações integradas de VNet para clientes que utilizem a oferta multi-inquilino pública.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: rede de Ambiente do Serviço de Aplicações
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize pontos finais privados para a sua Aplicações Web do Azure para permitir que os clientes localizados na sua rede privada acedam de forma segura às aplicações através de Private Link. O ponto final privado utiliza um endereço IP no seu espaço de endereços VNet do Azure. O tráfego de rede entre um cliente na sua rede privada e a Aplicação Web atravessa a VNet e um Private Link na rede principal da Microsoft, eliminando a exposição da Internet pública.
Nota: o Ponto Final Privado só é utilizado para fluxos de entrada para a sua Aplicação Web. Os fluxos de saída não utilizarão este Ponto Final Privado. Pode injetar fluxos de saída na sua rede numa sub-rede diferente através da funcionalidade de integração da VNet. A utilização de pontos finais privados para serviços no final de receção de Serviço de Aplicações tráfego evita que o SNAT aconteça e fornece um intervalo de IP de saída estável.
Orientação Adicional: se executar contentores em Serviço de Aplicações que estão armazenados no Azure Container Registry (ACR), certifique-se de que essas imagens são puxadas por uma rede privada. Para tal, configure um ponto final privado no ACR para armazenar essas imagens em conjunto com a definição da aplicação "WEBSITE_PULL_IMAGE_OVER_VNET" na sua aplicação Web.
Referência: Utilizar Pontos Finais Privados para a Aplicação Web do Azure
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o Acesso à Rede Pública com regras de filtragem da ACL de IP ao nível do serviço ou pontos finais privados ou ao definir a publicNetworkAccess propriedade como desativada no ARM.
Referência: Configurar restrições de acesso Serviço de Aplicações do Azure
NS-5: Implementar a proteção contra DDOS
Outras orientações para NS-5
Ative o DDOS Protection Standard na rede virtual que aloja o Firewall de Aplicações Web do Serviço de Aplicações. O Azure fornece proteção básica do DDoS na sua rede, que pode ser melhorada com capacidades inteligentes do DDoS Standard, que aprende sobre padrões de tráfego normais e pode detetar comportamentos invulgares. O DDoS Standard aplica-se a um Rede Virtual, pelo que tem de ser configurado para o recurso de rede à frente da aplicação, como Gateway de Aplicação ou uma NVA.
NS-6: Implementar a firewall de aplicações Web
Outras orientações para NS-6
Evite que a WAF seja ignorada para as suas aplicações. Certifique-se de que a WAF não pode ser ignorada ao bloquear o acesso apenas à WAF. Utilize uma combinação de Restrições de Acesso, Pontos Finais de Serviço e Pontos Finais Privados.
Além disso, proteja um Ambiente do Serviço de Aplicações ao encaminhar o tráfego através de um Firewall de Aplicações Web (WAF) ativado Gateway de Aplicação do Azure ou do Azure Front Door.
Para a oferta multi-inquilino, proteja o tráfego de entrada para a sua aplicação com:
- Restrições de Acesso: uma série de regras de permissão ou negação que controlam o acesso de entrada
- Pontos Finais de Serviço: podem negar o tráfego de entrada de fora de redes virtuais ou sub-redes especificadas
- Pontos Finais Privados: exponha a sua aplicação à sua Rede Virtual com um endereço IP privado. Com os Pontos Finais Privados ativados na sua aplicação, já não está acessível à Internet
Considere implementar uma Azure Firewall para criar, impor e registar centralmente políticas de conectividade de rede e aplicações de registo nas suas subscrições e redes virtuais. Azure Firewall utiliza um endereço IP público estático para recursos de rede virtual, o que permite que firewalls externas identifiquem o tráfego proveniente da sua rede virtual.
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: para aplicações Web autenticadas, utilize apenas fornecedores de identidade estabelecidos conhecidos para autenticar e autorizar o acesso do utilizador. Caso a sua aplicação só seja acedida por utilizadores da sua própria organização ou se os seus utilizadores estiverem todos a utilizar o Azure Active Directory (Azure AD), configure Azure AD como o método de autenticação predefinido para controlar o acesso ao seu plano de dados.
Referência: Autenticação e autorização em Serviço de Aplicações do Azure e Funções do Azure
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Autenticação e autorização em Serviço de Aplicações do Azure e Funções do Azure
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Um cenário comum para utilizar uma identidade gerida com Serviço de Aplicações é aceder a outros serviços PaaS do Azure, como SQL do Azure Base de Dados, Armazenamento do Azure ou Key Vault.
Referência: Como utilizar identidades geridas para Serviço de Aplicações e Funções do Azure
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação Adicional: embora os principais de serviço sejam suportados pelo serviço como um padrão de autenticação, recomendamos que utilize identidades geridas sempre que possível.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Web:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Serviço de Aplicações aplicações devem utilizar a identidade gerida | Utilizar uma identidade gerida para uma segurança de autenticação melhorada | AuditIfNotExists, Desativado | 3.0.0 |
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: certifique-se de que os segredos e credenciais da aplicação são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração. Utilize uma identidade gerida na sua aplicação para, em seguida, aceder a credenciais ou segredos armazenados no Key Vault de forma segura.
Referência: Utilizar referências de Key Vault para Serviço de Aplicações e Funções do Azure
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: implemente o Scanner de Credenciais no pipeline de compilação para identificar credenciais dentro do código. O Scanner de Credenciais também vai incentivar a movimentação das credenciais descobertas para localizações mais seguras, por exemplo, o Azure Key Vault.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: embora as funcionalidades de identificação, classificação e prevenção de perda de dados ainda não estejam disponíveis para Serviço de Aplicações, pode reduzir o risco de exfiltração de dados da rede virtual ao remover todas as regras em que o destino utiliza uma "etiqueta" para serviços da Internet ou do Azure.
A Microsoft gere a infraestrutura subjacente para Serviço de Aplicações e implementou controlos rigorosos para evitar a perda ou exposição dos seus dados.
Utilize etiquetas para ajudar a controlar Serviço de Aplicações recursos que armazenam ou processam informações confidenciais.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize e aplique a versão mínima predefinida do TLS v1.2, configurada nas definições TLS/SSL, para encriptar todas as informações em trânsito. Certifique-se também de que todos os pedidos de ligação HTTP são redirecionados para HTTPS.
Referência: Adicionar um certificado TLS/SSL no Serviço de Aplicações do Azure
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Web:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Serviço de Aplicações aplicações só devem estar acessíveis através de HTTPS | A utilização de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escuta da camada de rede. | Auditoria, Desativado, Negar | 4.0.0 |
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: os conteúdos do Web site numa aplicação Serviço de Aplicações, como ficheiros, são armazenados no Armazenamento do Azure, o que encripta automaticamente o conteúdo inativo. Opte por armazenar segredos da aplicação no Key Vault e recuperá-los no runtime.
Os segredos fornecidos pelo cliente são encriptados inativos enquanto são armazenados em bases de dados de configuração Serviço de Aplicações.
Tenha em atenção que, embora os discos anexados localmente possam ser utilizados opcionalmente pelos sites como armazenamento temporário (por exemplo, D:\local e %TMP%), só são encriptados em inatividade na oferta de Serviço de Aplicações multi-inquilino público onde o SKU Pv3 pode ser utilizado. Para unidades de dimensionamento multi-inquilino públicas mais antigas em que o SKU Pv3 está indisponível, o cliente tem de criar um novo grupo de recursos e reimplementar os respetivos recursos.
Além disso, o cliente tem a opção de executar a aplicação no Serviço de Aplicações diretamente a partir de um pacote ZIP. Para obter mais informações, visite: Execute a sua aplicação no Serviço de Aplicações do Azure diretamente a partir de um pacote ZIP.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Nota: os conteúdos do Web site numa aplicação Serviço de Aplicações, como ficheiros, são armazenados no Armazenamento do Azure, que encripta automaticamente o conteúdo inativo. Opte por armazenar segredos da aplicação no Key Vault e recuperá-los no runtime.
Os segredos fornecidos pelo cliente são encriptados inativos enquanto são armazenados em bases de dados de configuração Serviço de Aplicações.
Tenha em atenção que, embora os discos anexados localmente possam ser utilizados opcionalmente pelos sites como armazenamento temporário (por exemplo, D:\local e %TMP%), não são encriptados inativos.
Referência: Encriptação inativa com chaves geridas pelo cliente
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Utilizar referências de Key Vault para Serviço de Aplicações e Funções do Azure
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: Serviço de Aplicações podem ser configurados com SSL/TLS e outros certificados, que podem ser configurados diretamente no Serviço de Aplicações ou referenciados a partir de Key Vault. Para garantir a gestão central de todos os certificados e segredos, armazene os certificados utilizados pelo Serviço de Aplicações no Key Vault em vez de os implementar localmente no Serviço de Aplicações diretamente. Quando esta opção estiver configurada Serviço de Aplicações transferirá automaticamente o certificado mais recente do Azure Key Vault. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault com base numa agenda definida ou quando existe uma expiração do certificado.
Referência: Adicionar um certificado TLS/SSL no Serviço de Aplicações do Azure
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
Nota: defina e implemente configurações de segurança padrão para as aplicações implementadas Serviço de Aplicações com Azure Policy. Utilize definições de Azure Policy incorporadas, bem como aliases de Azure Policy no espaço de nomes "Microsoft.Web" para criar políticas personalizadas para alertar, auditar e impor configurações do sistema. Desenvolva um processo e um pipeline para gerir exceções de políticas.
Referência: Azure Policy controlos de Conformidade Regulamentar para Serviço de Aplicações do Azure
AM-4: Limitar o acesso à gestão de recursos
Outras orientações para AM-4
Isolar sistemas que processam informações confidenciais. Para tal, utilize Planos de Serviço de Aplicações separados ou Ambientes de Serviço de Aplicações e considere a utilização de diferentes subscrições ou grupos de gestão.
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para Serviço de Aplicações para identificar ataques destinados a aplicações em execução em Serviço de Aplicações. Quando ativa Microsoft Defender para Serviço de Aplicações, beneficia imediatamente dos seguintes serviços oferecidos por este plano do Defender:
Seguro: o Defender para Serviço de Aplicações avalia os recursos abrangidos pelo seu plano de Serviço de Aplicações e gera recomendações de segurança com base nas suas conclusões. Utilize as instruções detalhadas nestas recomendações para proteger os recursos Serviço de Aplicações.
Detetar: o Defender para Serviço de Aplicações deteta inúmeras ameaças aos seus recursos de Serviço de Aplicações ao monitorizar a instância da VM na qual a sua Serviço de Aplicações está em execução e a respetiva interface de gestão, os pedidos e respostas enviados de e para a sua Serviço de Aplicações aplicações, sandboxes e VMs subjacentes e Serviço de Aplicações registos internos.
Referência: Proteger as suas aplicações Web e APIs
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para as suas aplicações Web no Serviço de Aplicações.
Referência: Ativar o registo de diagnósticos para aplicações no Serviço de Aplicações do Azure
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Postura e gestão de vulnerabilidades.
PV-2: Auditar e impor configurações seguras
Outras orientações para PV-2
Desative a depuração remota, a depuração remota não pode ser ativada para cargas de trabalho de produção, uma vez que esta ação abre portas adicionais no serviço, o que aumenta a superfície de ataque.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Web:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: As aplicações de funções devem ter "Certificados de Cliente (Certificados de cliente recebidos)" ativados | Os certificados de cliente permitem que a aplicação solicite um certificado para pedidos recebidos. Apenas os clientes com certificados válidos poderão aceder à aplicação. Esta política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não suporta certificados de cliente. | Auditar, Desativado | 3.1.0 preterido |
PV-7: Realizar operações regulares da equipa vermelha
Outras orientações para PV-7
Realize um teste de penetração regular nas suas aplicações Web ao seguir as regras de teste de penetração de cativação.
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: sempre que possível, implemente a conceção de aplicações sem estado para simplificar os cenários de recuperação e cópia de segurança com Serviço de Aplicações.
Se realmente precisar de manter uma aplicação com monitorização de estado, ative a funcionalidade Cópia de Segurança e Restauro no Serviço de Aplicações que lhe permite criar facilmente cópias de segurança de aplicações manualmente ou com base numa agenda. Pode configurar as cópias de segurança para serem retidas até um período de tempo indefinido. Pode restaurar a aplicação para um instantâneo de um estado anterior ao substituir a aplicação existente ou ao restaurar para outra aplicação. Certifique-se de que as cópias de segurança regulares e automatizadas ocorrem com frequência, conforme definido pelas políticas organizacionais.
Nota: Serviço de Aplicações pode fazer uma cópia de segurança das seguintes informações para uma conta de armazenamento e um contentor do Azure, que configurou a sua aplicação para utilizar:
- Configuração de aplicações
- Conteúdo do ficheiro
- Base de dados ligada à sua aplicação
Referência: Fazer uma cópia de segurança da sua aplicação no Azure
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Segurança do DevOps
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de DevOps.
DS-6: Impor a segurança da carga de trabalho ao longo do ciclo de vida do DevOps
Outras orientações para DS-6
Implemente código para Serviço de Aplicações a partir de um ambiente controlado e fidedigno, como um pipeline de implementação de DevOps bem gerido e protegido. Isto evita código que não foi controlado pela versão e verificado para ser implementado a partir de um anfitrião malicioso.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure