Базовый план обеспечения безопасности Azure для Logic Apps
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к Logic Apps. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Logic Apps.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции , неприменимые к Logic Apps, были исключены. Чтобы узнать, как Logic Apps полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Logic Apps.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Logic Apps с высоким уровнем влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Интеграция |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается в службах приложений для стандартного предложения Logic Apps. Клиенты также могут использовать ASE версии 3 для развертывания стандартных приложений Logic Apps.
Руководство по настройке. Разверните приложение Logic Apps уровня "Стандартный" в любом из стандартных приложений рабочего процесса или ASE версии 3. Клиенты могут настроить интеграцию виртуальной сети и частные конечные точки с помощью обоих предложенных вариантов.
Справочник.Интеграция с виртуальной сетью Logic Apps
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Для Logic Apps уровня "Стандартный" это поддерживается службами приложений и функциями.
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Примечание. Разверните приложение Logic Apps уровня "Стандартный" в любой из стандартных asp рабочих процессов или ASE версии 3. Клиенты могут настроить интеграцию виртуальной сети и частные конечные точки с помощью обоих предложенных вариантов. После этого клиенты могут настроить необходимые правила NSG в своих подсетях.
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Для Logic Apps уровня "Стандартный" это поддерживается службами приложений и функциями.
Руководство по настройке. Разверните приложение Logic Apps уровня "Стандартный" в любом из стандартных приложений рабочего процесса или ASE версии 3. Клиенты могут настроить интеграцию виртуальной сети и частные конечные точки с помощью обоих предложенных вариантов.
Справочник. Приватные каналы Logic Apps
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается в службах приложение Azure для Logic Apps уровня "Стандартный".
Руководство по настройке. Отключите доступ к общедоступной сети с помощью Logic Apps Уровня "Стандартный" в ASE версии 3 или плана службы приложений "Стандартный" рабочего процесса. С помощью ASE версии 3 клиенты могут настроить для выбора внутренней СРЕДЫ ASE версии 3. С помощью стандартного плана службы приложений для рабочего процесса клиенты могут отключить доступ к общедоступной сети с включенными частными конечными точками.
Справочник. Использование частных конечных точек для приложений Служба приложений
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается в logic Apps Consumption и Standard с использованием различных моделей, так как модель Logic Apps уровня "Стандартный" работает поверх Служб приложений.
Дополнительные сведения см. в статье Потребление и стандарт.
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник.Проверка подлинности AAD в Azure Logic Apps
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается в службах и функциях приложение Azure для Logic Apps уровня "Стандартный". Избегайте использования локальных методов проверки подлинности или учетных записей. Они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Проверка подлинности и авторизация в Служба приложений Azure и Функции Azure
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Поддерживается проверка подлинности с помощью управляемого удостоверения в Logic Apps. Кроме того, служба (как потребление, так и стандартная) может использовать управляемое удостоверение для проверки подлинности в других службах.
Дополнительные сведения см. в статье Проверка подлинности Logic Apps с помощью управляемого удостоверения.
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Типы проверки подлинности для соединителей, поддерживающих проверку подлинности
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Клиент может использовать простую проверку подлинности служб приложений для настройки этой поддержки в стандартном предложении. Или они могут использовать поддержку проверки подлинности AAD в предложении потребления.
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справка.Триггеры запросов проверки подлинности AAD для Logic Apps
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Стандартное предложение Logic Apps — это рекомендуемый продукт для клиентов для всех корпоративных сценариев интеграции.
В Logic Apps Standard клиенты могут ссылаться на свои секреты в Key Vault с помощью параметров приложения и, в свою очередь, ссылаться на параметры приложения в своих рабочих процессах.
Дополнительные сведения см. в статье Программный доступ к параметрам приложения из выражений Logic Apps.
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраивают их в файлы кода или конфигурации.
Справочник. Стандартные параметры приложения Logic Apps
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Справочник. Защищенное хранилище Logic Apps
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник.Защита приложений логики
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Для предложения "Потребление" данные для клиентов хранятся в учетных записях хранения, управляемых Корпорацией Майкрософт, и данные шифруются при хранении с помощью функции шифрования неактивных данных хранилища.
Для предложения "Стандартный" хранилищем управляют клиенты.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается в Logic Apps уровня "Стандартный". В предложении "Стандартный" клиенты могут настроить собственные учетные записи хранения для хранения данных среды выполнения. Так как клиенты владеют хранилищем, они могут настроить политики CMK в соответствии с требованиями для своих учетных записей хранения.
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Так как Logic Apps Standard выполняется поверх Служб приложений и Функций, эта функция поддерживается службами приложений.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. В Logic Apps standard эта функция поддерживается с помощью поддержки служб приложений ссылок на сертификаты из Key Vault.
Дополнительные сведения см. в статье Импорт сертификата из Key Vault.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует определенным стандартам без использования каких-либо небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в azure Key Vault и службе Azure (если поддерживается) на основе определенного расписания или при истечении срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему сменяются с помощью ручных методов в Azure Key Vault и приложении.
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Так как Logic Apps Standard работает поверх Служб приложений, клиенты могут настраивать политики так же, как и для служб приложений и функций. Наряду с этим доступны и специальные политики Logic Apps.
встроенные политики Служба приложений
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Встроенные политики Logic Apps
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Эта функция поддерживается службами приложений для Logic Apps уровня "Стандартный".
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Когда вы получаете оповещение от Microsoft Defender для Key Vault, изучите оповещение и ответьте на него.
Справочник. Обзор Defender для Служба приложений для защиты веб-приложений и API Служба приложений Azure
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL содержит журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник. Мониторинг и сбор диагностических данных для рабочих процессов в Azure Logic Apps
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.